Upload
lambao
View
228
Download
3
Embed Size (px)
Citation preview
UNIVERZA V LJUBLJANI
EKONOMSKA FAKULTETA
MAGISTRSKO DELO
UPRAVLJANJE INFORMATIKE
Ljubljana, januar 2009 Aleš Levstek
IZJAVA
Študent Aleš Levstek izjavljam, da sem avtor tega magistrskega dela, ki sem ga napisal pod
mentorstvom prof. dr. Aleša Groznika, in skladno s 1. odstavkom 21. člena Zakona o
avtorskih in sorodnih pravicah dovolim objavo magistrskega dela na spletnih straneh
fakultete.
V Ljubljani, dne: 09. 01. 2009 Podpis:________________
i
KAZALO VSEBINE
KAZALO VSEBINE .......................................................................................................................... i
KAZALO SLIK ................................................................................................................................ ii
KAZALO TABEL ........................................................................................................................... iii
UVOD .......................................................................................................................................... 5
1 ZAKAJ UPRAVLJATI INFORMATIKO? .................................................................................... 8
2 VLOGA INFORMATIKE V PODJETJU ................................................................................... 11
2.1 Organizacijske oblike upravljanja informatike .......................................................... 14
2.2 Strateška uporaba informatike v poslovanju ............................................................. 18
2.3 Strategije informatike v poslovanju ........................................................................... 19
2.4 Vloga vodje informatike (CIO) .................................................................................... 25
3 UPRAVLJANJE INFORMATIKE ............................................................................................ 26
3.1 Načela in telesa upravljanja informatike ................................................................... 28
3.2 Področja upravljanja informatike .............................................................................. 31
3.2.1 Strateška usklajenost (angl. Strategic Alignment) .............................................. 32
3.2.2 Zagotavljanje vrednosti (angl. Value delivery) ................................................... 34
3.2.3 Management tveganj (angl. Risk management) ................................................ 34
3.2.4 Management virov (angl. Resource Management) ............................................ 35
3.2.5 Revizija in vrednotenje (angl. Audit and Performance Measurement) .............. 36
4 OKVIRJI, STANDARDI IN METODOLOGIJE UPRAVLJANJA INFORMATIKE .......................... 37
4.1 CobIT .......................................................................................................................... 39
4.2 ITIL .............................................................................................................................. 44
4.3 ISO Standardi ............................................................................................................. 45
4.4 Val IT........................................................................................................................... 48
4.5 Ostali okvirji, standardi in metodologije upravljanja informatike ............................. 50
5 KONVERGENCA OKVIRJEV, STANDARDOV IN METODOLOGIJ........................................... 61
6 UPRAVLJANJE INFORMATIKE V PRAKSI ............................................................................. 63
6.1 Povzetek in zaključki raziskave .................................................................................. 64
ZAKLJUČEK ................................................................................................................................ 69
VIRI ............................................................................................................................................ 72
PRILOGE ...................................................................................................................................... 1
ii
Rezultati raziskave upravljanja informatike (ITSGR – SUG) ................................................... 1
Slovar tujih izrazov, kratic in okrajšav .................................................................................. 21
Uporabljen vprašalnik .......................................................................................................... 24
KAZALO SLIK
Slika 1: Zrelost informatike .................................................................................................................... 13
Slika 2: Delitev odgovornosti pri upravljanju informatike ..................................................................... 16
Slika 3: Organizacijski pogled na korporativno upravljanje informatike in vodenje informatike ......... 27
Slika 4: Okvir upravljanja informatike (angl. IT Governance Framework) ............................................. 29
Slika 5: Področja upravljanja informatike .............................................................................................. 32
Slika 6: Model skladnosti strateškega načrta informatike s strateškim načrtom podjetja ................... 33
Slika 7: Osnovni CobIT principi .............................................................................................................. 39
Slika 8: Razvoj CobIT-a skozi čas ............................................................................................................ 41
Slika 9: Osredotočenje CobIT okvirja ..................................................................................................... 43
Slika 10: Procesi in aktivnosti Val IT iniciative ....................................................................................... 50
Slika 11: Povezava BSC in IT BSC ............................................................................................................ 52
Slika 12: Generični IT BSC model ........................................................................................................... 52
Slika 13: Grafični prikaz modela zrelosti ................................................................................................ 58
Slika 14: Uporaba okvirjev, metod in standardov v upravljanju informatike ........................................ 62
Slika 15: Področja uporabe okvirjev, metod in standardov v upravljanju informatike ......................... 63
SLIKE V PRILOGAH
Slika 16: Geografski položaj anketiranih podjetij .................................................................................... 1
Slika 17: SKD dejavnost anketiranih podjetij ........................................................................................... 2
Slika 18: Velikost anketiranih podjetij ..................................................................................................... 2
Slika 19: Funkcija anketrirancev v podjetjih ............................................................................................ 3
Slika 20: Ključna oseba/sponzor upravljanja informatike v podjetju ...................................................... 4
Slika 21: Vloga poslovne strani pri sodelovanju upravljanja informatike................................................ 5
Slika 22: Pogostost obravnavanja informatike na sejah uprave .............................................................. 5
Slika 23: Dodana vrednost informatike ................................................................................................... 6
Slika 24: Usklajenost poslovne strategije in strategije informatike ........................................................ 7
Slika 25: Usklajenost upravljanja informatike in upravljanja podjetja na korporativnem nivoju ........... 7
Slika 26: Pomembnost informatike ......................................................................................................... 8
Slika 27: Zrelostni nivo upravljanja informatike ...................................................................................... 9
Slika 28: Pogostost komunikacije med informatiko in poslovno stranjo .............................................. 10
Slika 29: Razumevanje poslovnih potreb s strani informatike .............................................................. 11
Slika 30: Stanje upravljanja informatike ................................................................................................ 12
Slika 31: Prepoznavnost podjetij pri implementaciji dobrih praks upravljanja informatike ................. 13
Slika 32: Podpora upravljanju informatike ............................................................................................ 14
iii
Slika 33: Ocena dobaviteljev dobrih praks upravljanja informatike ..................................................... 15
Slika 34: Uvedba upravljanja informatike ............................................................................................. 16
Slika 35: Uvedba upravljanja informatike glede na SKD dejavnost ....................................................... 17
Slika 36: Izbrane rešitve za upravljanje informatike ............................................................................. 18
Slika 37: Prepoznavnost CobIT-a ........................................................................................................... 20
Slika 38: Uporaba CobIT-a ..................................................................................................................... 20
KAZALO TABEL
Tabela 1: Način uporabe informatike v poslovanju .............................................................................. 12
Tabela 2: Model za določanje vloge informatike v podjetju ................................................................. 20
Tabela 3: Lastnosti CIO-ta. .................................................................................................................... 26
Tabela 4: Najpogosteje uporabljeni standardi, ogrodja in metodologije upravljanja informatike ...... 38
Tabela 5: Procesne in aplikativne CobIT kontrole ................................................................................. 41
Tabela 6: Ključni CobIT procesi in procesne kontrole .......................................................................... 42
Tabela 7: Ključni Val IT procesi ............................................................................................................. 49
Tabela 8: Primerjava CobIT in CMM zrelostnih modelov ...................................................................... 57
Tabela 9: Opisna primerjava CobIT in CMM zrelostnih modelov.......................................................... 58
5
UVOD
Po petdesetih letih obstoja poslovna informatika v današnjem času na začetku 21. stoletja počasi, vendar vztrajno prehaja v fazo zrelosti. V tem razvojnem obdobju se pozornost managementa usmerja v strateško (korporativno) upravljanje informatike (angl. IT Governance) oz. v iskanje optimalnih poti, načinov usklajevanja informacijskih procesov v povezavi s ključnimi korporativnimi poslovnimi procesi, njihovega medsebojnega povezovanja, standardizacije in harmonizacije. V tem trenutku tehnologija sama po sebi ni več v središču pozornosti, to vlogo prevzema poslovni pogled na informatiko in njeni učinki na samo poslovanje.
V takšnih pogojih se vse bolj zavedamo, da ima informatika pomemben vpliv na uspešnost poslovanja, na konkurenčno prednost podjetja in nenazadnje na tržni položaj podjetja. Da bi lahko objektivno ocenili kvaliteto informacijskih projektov, njihov vpliv na uspešnost podjetja in doseganja poslovnih ciljev, ni dovolj intuitivna in izkustvena ocena ocenjevalca. Za podajanje takšne ocene nujno potrebujemo metodološki pristop z vzpostavitvijo primernih kazalcev, spremljanja in vrednotenja učinkov informacijske tehnologije v poslovanju podjetja, upravljanju poslovnih in informacijskih tveganj, kontrole nad informacijskimi procesi in revizijo informacijskega sistema, ki temeljijo na mednarodnih standardih upravljanja informatike.
Upravljanje informatike je v zadnjem času eno izmed najpomembnejših področij, s katerimi se ukvarjajo najvišja vodstva v podjetjih in organizacijah. Po raziskavah podjetja AMR Group 79% vodij informatike (CIO) med najpomembnejše cilje v svojih organizacijah omenja ravno področje upravljanja informatike in obvladovanja tveganj, kot eni izmed ključnih področij, ki podjetju lahko zagotovi enakovreden položaj v vse hitreje razvijajočem se konkurenčnem poslovnem svetu (Emery, 2007).
V upravah podjetij vse prepogosto smatrajo informatiko kot zaledno službo, tehnično funkcijo in jo kot tako vidijo samo skozi stroške. Pri tem se pogosto ne zavedajo koliko jih informatika stane, zakaj in v kaj se vlaga v informacijskih projektih. Potrebno je poudariti, da se vlaganja v informatiko iz leta v leto povečujejo. Eden od razlogov zakaj je temu tako (tudi če informatiko obravnavamo kot strošek), je dejstvo, da učinkovito in sodobno poslovanje dandanes temelji na informacijsko komunikacijskih tehnologijah, ki jih povezuje informacijski sistem. Niso redki primeri podjetij, ki več kot 50% planskih sredstev namenijo informatiki oz. informacijskim projektom (Nolan & McFarlan, 2005, str. 97). V večini primerov lahko delež planiranih sredstev namenjenih informatiki ocenimo na 5% do 7%, s trendom rasti (Symons, 2005). Vendar ta odstotek predstavlja le del sredstev namenjenih informatiki, ostala vlaganja so skrita v planiranih sredstvih ostalih poslovnih delov podjetja. Po nekaterih ocenah je le 20% stroškov vidnih neposredno v planu sredstev informatike (Deravaj & Kohli, 2002).
Namen naloge
V zadnjem obdobju se je podjetje v katerem sem zaposlen (banka), razširilo predvsem na trge JV Evrope z nakupom bank. S širitvijo podjetja in njegovim razvojem se izrazito veča tudi
6
potreba po učinkovitem upravljanju informatike. Na eni strani smo prisiljeni slediti razvoju informatike in njeni vlogi v poslovanju, po drugi strani pa moramo vzdrževati in vzpostavljati učinkovit sistem upravljanja informatike za celotno skupino. Naj poudarim, da je politika širjenja podjetja nakup bank, ki samostojno nastopajo na svojem tržišču in imajo že utečene procese dela in s tem tudi določeno vlogo informatike. Vpeljevanje korporativnih sistemov v takšna okolja je zelo zahteven proces, ki je vpet v celotno podjetje. Zato je še posebej pomembno, da ima podjetje jasno izdelano strategijo informatike, ki temelji na poslovni strategiji in vzpostavljene sodobne mehanizme upravljanja informatike, ki so usklajeni s korporativnim upravljanjem podjetja in ustrezno prilagojeni vlogi informatike v samem podjetju, kar želi naloga posebej izpostaviti.
V nalogi želim čim bolj podrobno opredeliti vlogo informatike v podjetju in odgovoriti na dnevno zastavljena vprašanja, ki so povezana z upravljanjem informatike. Predvsem so v ospredju vprašanja povezana z vlogo informatike v podjetju, kakšna naj bo ta vloga in kakšno pozicijo mora imeti vodja informatike (CIO)? Naloga skuša podati širok pregled na upravljanje informatike, ki je namenjen tako vodjem informatike, kot tudi vodstvu podjetja. V sami vsebini sem skušal prikazati par dejstev, ki nakazujejo trend prodora informatike na enako raven, kot jo imajo primarne poslovne funkcije podjetja, kaj razumemo pod pojmom upravljanje informatike in kako je le to vpeto v upravljanje celotnega podjetja, kakšne metodologije, standarde in priporočila uporabljamo, kakšen je trend njihovega razvoja in kakšne so pomanjkljivosti ter v zaključku prikaz upravljanja informatike v praksi.
Cilji naloge
Ciljev naloge je več. Cilj prvega dela naloge je prikazati, zakaj je upravljanje informatike in njena vloga v podjetju pomembna in zakaj je nujno opredeliti vlogo informatike. V drugem delu naloge je cilj prikazati področja upravljanja, različne vloge informatike in njen vpliv v podjetju. V prvem in drugem delu naloge so prikazana tudi teoretična izhodišča, ki predstavljajo pregled literature in najboljših praks, zakaj upravljati informatiko. Cilji tretjega dela naloge je pregled okvirjev, standardov in metodologij za upravljanje informatike, njihova uporabnost in pomanjkljivost in njihov razvoj v prihodnje. V zadnjem delu, ki je praktični del naloge, je cilj predstaviti stanje upravljanja informatike v praksi (ta del naloge temelji na raziskavi IT Governance Instituta in raziskave Global Status Report 2008 - ITSGR), z izvedeno raziskavo ugotoviti stanje upravljanja informatike v okviru SUG skupine (angl. Software User Group) in izvesti primerjavo med raziskavama ter podati smernice razvoja upravljanja informatike v bankah na področju JV Evrope.
SUG predstavlja 29 bank na področju JV Evrope, ki za izvajanje primarnih poslovnih procesov uporabljajo enako celovito programsko rešitev. Geografski položaj in število bank v SUG skupini predstavlja: v Srbiji 17 bank od 34 bank, v Črni Gori 5 bank od 11 bank, v Makedoniji 5 bank od 18 bank in v BIH 2 banki od 28 bank. Od tega predstavlja 6 bank skupino bank v skupnem lastništvu podjetja, kjer sem zaposlen. Cilj raziskave je ugotoviti stanje in narediti primerjavo z izvedeno ITSGR raziskavo na področju upravljanja informatike v bankah SUG, ki bo osnova za potencialno medsebojno povezovanje in skupno delovanje skupine SUG v smeri:
Skupnega razvoja informacijskega sistema za podporo regulatornim zahtevam, ki ne vpliva na konkurenčni položaj posameznih članic znotraj skupine;
7
Skupnega testiranja novih rešitev; Iskanja sinergij v smislu krepitve skupnega tržnega položaja članic SUG; Možnost sodelovanja na infrastrukturnem nivoju in zagotavljanja storitev (npr.
zagotavljanje brezprekinitvenega poslovanja), itd.
Cilji naloge sledijo tezi, ki pravi, da zrelost upravljanja informatike v bankah na področju JV Evrope sledi sodobnim trendom in je popolnoma primerljiva z razvitim svetom.
Temeljno raziskovalno vprašanje naloge je, ali upravljanje informatike v bankah skupine SUG sledi sodobnim trendom upravljanja informatike v razvitih državah in ali je stopnja upravljanja primerljiva s stopnjo, ki jo dosegajo sodobna razvita podjetja.
Metode dela
V nalogi so uporabljene različne metode dela. Z metodo analize sem proučil razpoložljivo literaturo in vire. Z metodo vprašalnika je bilo izvedeno ugotavljanje stanja na področju korporativnega upravljanja informatike v okviru SUG skupine. Pri kvalitativni raziskavi je bila poleg metode anketiranja uporabljena tudi metoda poglobljenega intervjuja, kar omogoča tudi drugačen primerjalni pogled na same rezultate anket. V zadnjem delu naloge, ki se navezuje na ugotavljanje stanja na področju upravljanja informatike so bili z metodo sinteze združene empirične in kvalitativne ugotovitve raziskave. Na osnovi obeh rezultatov in teoretičnih ugotovitev so podani tudi ustrezni zaključki.
Pri izdelavi magistrskega dela sem uporabil tudi teoretična znanja, pridobljena v okviru podiplomskega študija in znanje, ki sem ga pridobil iz praktičnih izkušenj pri svojem delu.
Vsebina naloge
Naloga je smiselno razdeljena na šest poglavij. V prvem poglavju je uvod v problematiko, ki skuša z zbranimi dejstvi iz literature orisati stanje pomembnosti upravljanja informatike in odgovoriti na vprašanje: Zakaj korporativno upravljati informatiko?
Drugo poglavje pripravi uvod v samo upravljanje informatike. Razloži vlogo informatike v podjetju, zgodovinski razvoj pomembnosti informatike in pomembnost usklajenosti strateškega načrta informatike in strategije podjetja. Opredeljena je tudi vloga vodje informatike (angl. Chief Information Officer, CIO).
Tretje poglavje oriše osnovna področja upravljanja informatike v podjetju in vpetost v upravljanje celotnega podjetja.
Četrto in peto poglavje podajata pregled trenutnih orodij, metodologij, standardov in priporočil, ki so sestavni del korporativnega upravljanja informatike s področij uporabe in njihovimi slabostmi. Opisi so zaradi omejitve obsega naloge zgolj orientacijski in se ne spuščajo v globino. V petem poglavju je nakazana konvergenca in nadaljnji razvoj na tem področju.
V šestem poglavju so povzeti delni rezultati raziskave, teoretične ugotovitve in zaključki.
8
V nalogi se pojavljata dva termina:
- informatika in informacijska tehnologija. Termin informatika se nanaša na celotno področje informatike v podjetju, informacijska tehnologija pa le na tehnološki del (arhitekturo) informatike v podjetju.
- upravljanje informatike in korporativno upravljanje informatike. Termin korporativno upravljanje informatike poudarja celovito upravljanje informatike na vseh ravneh in nivojih podjetja, ki je del korporativnega upravljanja podjetja.
1 ZAKAJ UPRAVLJATI INFORMATIKO?
Kot je zapisano v uvodu je upravljanje informatike v zadnjem času ena izmed najpomembnejših področij, s katerimi se ukvarjajo najvišja vodstva v podjetjih in organizacijah. Po raziskavah podjetja AMR Group 79% vodij informatike (CIO) med najpomembnejše cilje v svojih organizacijah omenja ravno področje upravljanja informatike in obvladovanja tveganj, kot eni izmed ključnih področij, ki podjetju lahko zagotovi enakovreden položaj v vse hitreje razvijajočem se konkurenčnem poslovnem svetu (Emery, 2007).
Uspešna uvedba informacijskih projektov vpliva na operativno uspešnost poslovanja (znižanje stroškov poslovanja, nižji stroški izvajanja poslovnih procesov), lahko pa je tudi izvor konkurenčne prednosti (stroškovno vodstvo ali diferenciacija). Strošek elektronske bančne transakcije je za banko do 100 krat manjši kot izvedba enake transakcije na bančnem okencu, strošek rezervacije letalske karte s pomočjo Interneta je do sedem krat nižji kot klasična rezervacija. Lep primer konkurenčne prednosti rezervacij s pomočjo Interneta so nizko cenovni letalski prevozniki kot npr. EasyJet in Ryanair, ki sta tak način poslovanja uvedla leta 2001. V letu 2003 se je 93% njihove prodaje odvijalo s pomočjo Interneta.
Skoraj v vseh panogah informatizacija vpliva na učinkovitost poslovnih procesov. V bančni panogi so v zadnjem času prisotni trendi, kot so deregulacija, zakonske zahteve (na primer uvedba evra, Basel II, IAS), globalizacija, pritisk s strani obstoječih in novih klientov, napredek v informacijski tehnologiji, zbliževanje bančne panoge z drugimi panogami (npr. zavarovalništvom) in večje povpraševanje klientov po bolj kompleksnih produktih (Drew, 1995). IBM je objavil, da je s povezovanjem različnih informacijskih sistemov znižal stroške za dvanajst milijard USD na področju nabave in logistike (IBM, 2004). Primer učinkovitosti nakazuje tudi primer bolnic, ki so s prenovo poslovnih procesov v kombinaciji z informatizacijo znatno izboljšale svoje poslovne rezultate (Silvius, 2006, str. 96). Znano je tudi, da sama najava informatizacije, ki bo podprla strateško spremembo poslovanja, dvigne ceno delnice podjetja na trgu kapitala.
Pogosti so primeri, ko se vlaganja v informatizacijo izvajajo vzporedno ali sočasno s projekti poslovne prenove ali reinženiringa poslovnih procesov, kar je vzrok velikih tveganj, na drugi strani pa zagotovi učinkovitost in uspešnost prenove. V zadnjih desetih letih se je precej spremenila tudi sama narava tveganj in njihovo dojemanje: od preventive in izolacije neželenih dogodkov, ki imajo majhen vpliv na poslovanje za katere so skrbeli funkcijski vodje,
9
do današnjega neposrednega vpliva na ključne poslovne procese s korporativnim upravljanjem tveganj.
Praksa upravljanja informatike se znatno razlikuje od podjetja do podjetja, pri čemer je potrebno neuspehe vlaganja v informatiko iskati v vlogi, ki jo ima informatika v podjetju. Niso redka podjetja, ki ne znajo opisati proces upravljanja informatike oz. njeno vlogo v poslovanju podjetja. V podjetjih se zavedajo, da živimo v obdobju, ko postaja informatika nepogrešljivi del poslovanja. Žal vlogo informatike v podjetju prepogosto postavljajo na osnovi svoje konkurence, trendov poslovanja ali tehnologije in ne po svojih dejanskih potrebah oz. rezultatih strateške analize poslovanja. Slabo poznavanje razmer, napačne odločitve in splošno slaba praksa upravljanja informatike lahko izpostavi poslovanje velikim tveganjem, ki lahko privedejo do velike poslovne škode in s tem vplivajo tudi na tržni položaj podjetja. V veliko primerih management podjetja šele po takšnih dogodkih prične razmišljati o pomembnosti upravljanja informatike in obvladovanju tveganj, ki izhajajo iz informacijskega sistema v poslovanju.
Po raziskavah ima manj kot 50% podjetij izdelan strateški načrt informatike (IPI, 2006). Strateški načrt informatike predstavlja pomemben poslovni dokument, ki je usklajen s strateškim poslovnim načrtom podjetja in opredeljuje uporabo informatike v poslovanju, vlogo informatike, prioritete vlaganja v informacijske projekte, tveganja in udejanjanja strateškega razvoj informatike v podjetju. Za podjetja, ki nimajo strateškega načrta informatike lahko zaključimo, da ne vedo zakaj in koliko dejansko vlagajo v informatiko, zakaj in kakšno vlogo ima informatika v njihovem podjetju in zaključimo lahko, da le ta nima enakopravne vloge v samem poslovanju podjetja. V teh primerih lahko govorimo o stroških informatike in ne o vlaganju v informatiko, ki bi sledila poslovnim ciljem podjetja. Več kot 60% podjetij vlaga manj kot 2% skupnih letnih prihodkov v informatiko, približno 32% podjetij vlaga 2%-5%, samo 5% podjetij pa vlaga več kot 5% skupnega letnega prihodka, kar je precej manj (relativno in absolutno) glede na primerjavo z razvitimi državami (IPI, 2006).
Upravljanje s stroški oz. vlaganji v informatiko in upravljanje z informacijskimi projekti predstavlja veliko tveganje in izziv tudi največjim podjetjem. Po izsledkih Gartnerjeve raziskave na vzorcu najboljših ameriških podjetjih, je 20% stroškov informatike nepotrebnih (Gartner, 2002). IBM-ova raziskava, ki je bila izvedena med vodji informatike (CIO) v podjetjih, ki pripadajo Fortune 1000 indeksu prihaja do zaključka, da 40% stroškov informatike niso prinesli nobene koristi podjetju (ITGI, 2006b).
Neodgovoren odnos upravljanja s stroški informatike se v večini primerov odraža tudi pri vodenju informacijskih projektov. Standish Group (1994) že leta raziskuje uspešnost informacijskih projektov na zelo velikem vzorcu ameriških podjetij, vendar rezultati iz leta 2004 bistveno ne odstopajo v primerjavi s kasnejšimi raziskavami (29% informacijskih projektov je uspešnih, 80%-90% projektov ne doseže ciljev, 80% projektov prekorači načrtovan čas in stroške, 40% projektov se opusti, itd.). V takšnih primerih ima informatika pogosto vlogo tehnične podpore poslovanju. Obravnava se kot nepotrebni strošek in ovira v razvoju poslovanja. Po drugi strani pa tudi takšna podjetja, ki ne vedo katere strateške cilje podpirajo z vlaganjem v informatiko, trošijo precej denarja za vzdrževanje in posodabljanje informacijske infrastrukture. Takšna vlaganja so sicer motivirana s strani spremljave trendov ali zahtev regulative in niso rezultat podrobnih analiz in dejanskih potreb poslovanju. Povezana so predvsem z nakupom strojne in deloma programske opreme. V tem primeru diktirajo uporabo informatike tehnološki trendi in ne poslovne potrebe. Dojemanje vloge
10
informatike kot organizacijske čarobne palice je predvsem pogosto pri nezrelih managerjih, kar ima kaj hitro za posledico neuspešnost izvedbe informacijskega projekta oz. neustrezno vlaganje. Zanimivo je, da so najpogostejši vzroki neuspešnih informacijskih projektov oz. vlaganj organizacijske narave in ne tehnične. Nanašajo se predvsem na:
nezadostna podpora managementa in nepoznavanje poslovne strani informatike, pomanjkanje virov, v projekt niso vključeni ključni uporabniki, odpor do sprememb (informacijski in organizacijski), slaba analiza organizacije in poslovnih procesov, neusklajenost projekta s poslovnim načrtom, nejasna projektna organizacija in odgovornosti, slab izbor informacijskih orodij, slaba promocija projekta in rezultatov, itd.
Projekt lahko propade iz tehničnih ali upravljavskih razlogov. Demarco in Lister (1999, str. 3) vsako leto od leta 1979 izvajata raziskavo o rezultatih razvojnih projektov (do leta 1999 se jih je nabralo čez 500). Za projekte, ki zahtevajo manj kot 25 človek-let, jih je 15% propadlo: so bili zaustavljeni, prekinjeni, odloženi ali pa niso bili nikoli aplicirani. Pri večjih projektih je slika bolj črna, saj jih je bilo prekinjenih kar četrtina. Avtorja sta kontaktirala člane proučevanih projektov, ki niso znali našteti niti enega tehničnega razloga za njihov propad. Največji razlog so bili po njihovem mnenju odnosi med zaposlenimi.
Pri prenavljanju (angl. Business Process Reingeeniring, BPR) poslovanja so številke še bolj porazne. A. Hammer recimo navaja, da sta dve tretjini poskusov prenove poslovanja, s katerimi se je srečal, propadli predvsem zaradi odpora ljudi (Kovačič & Bosilj-Vukšid, 2005, str. 67).
Odgovornost za neuspeh je vsaj podvojena, ker management podjetja v večini primerov ne razume poslovne potenciale informatike, na drugi strani pa direktorjem informatike primanjkuje poslovnih in managerskih znanj. V primeru informacijskih projektov je statistika neizprosna (Standish Group, 1994, str. 1-9):
v več kot 70% primerih vlaganj v informatiko se ne naredi analiza ekonomske upravičenosti,
v več kot 80% primerov vlaganj v informatiko, vodja informatike (CIO), ne razume, kako je informatika povezana s poslovanjem,
83% vodij informatike (CIO) se ukvarja samo s tehnično stranjo uporabe informatike.
Zaradi navedenih dejstev, da bi dosegli učinkovitost in koristnost vlaganj v informatiko ter ravnopraven oz. strateški položaj informatike v podjetju, mora management podjetja skupaj z managementom informatike odgovoriti na naslednja vprašanja:
Kakšna je naloga in vloga informatike v poslovanju našega podjetja? Ali imamo strateški načrt informatike? Ali je trenutna vloga informatike usklajena s strateškimi cilji poslovanja? Ali lahko podjetje uspešno konkurira in posluje brez informacijske podpore? Ali lahko s pomočjo informatike, tehnologije in informacijskih sistemov dosežemo in
ohranjamo konkurenčno prednost?
11
Ali lahko s pomočjo informatike vplivamo na izboljšanje ključnih dejavnikov uspeha (KDU)?
Ali znamo identificirati ključne informacijske projekte in oceniti njihov doprinos poslovanju?
Kako pogosto je informatika tema na sestankih najvišjega vodstva? Ali lahko opišemo proces upravljanja informatike (kdo je zanj odgovoren, kdo
sprejema pomembne odločitve, kdo določa vlaganja, prioritete projektov, itd…)? Ali znamo ustvariti dodano poslovno vrednost s pomočjo informatike? Kakšna je donosnost naložbe (angl. Return On Investment, ROI) v informacijske
projekte? Ali znamo meriti ključne kazalce informatike in informacijskih sistemov? Ali vemo,
kako vplivajo na posamezne poslovne procese in na poslovanje kot tako? Kakšne so prioritete vlaganj v informatiko in informacijske sisteme? Katerim
poslovnim ciljem zadostimo? S kakšnimi metodami določamo ekonomsko upravičenost? Kdo bo sprejel te odločitve? Zakaj ne vlagamo več/manj?
Kakšna so tveganja, ki izhajajo iz informatike? Kdo obvladuje in spremlja tveganja? Ali imamo načrt obnove po nesreči? Kaj se bo zgodilo s poslovanjem podjetja, če
odpove informacijski sistem? Kako dolgo (par minut, par ur ali par dni) lahko poslujemo brez informacijske podpore, itd…
Odgovori na ta in podobna vprašanja odražajo način upravljanja informatike na korporativnem nivoju, ki se giblje od nivoja tehnične podpore do strateškega partnerstva.
2 VLOGA INFORMATIKE V PODJETJU
Za opredelitev vloge informatike v podjetju je poučno pogledati razvrstitev informacijskih sistemov (IS) skozi čas, ki odraža razvitost informatike in potrebe klientov (Kovačič et al., 2004, str. 22):
Obdobje obdelave podatkov, kjer prevladujejo paketne obdelave na osrednjih računalnikih, namenjene spremljanju poslovanja, stroškov in zalog. V tem obdobju so v ospredju podatki;
Obdobje poslovnih IS, kjer je glavni cilj učinkovitost poslovanja z dvigom produktivnosti in neposrednega vključevanja uporabnikov, ki se prične z malimi računalniki in interaktivnimi obdelavami ter nadaljuje z osebnimi računalniki in elektronsko izmenjavo podatkov (angl. Electronic Data Interchange, EDI). V ospredju so informacije za poslovanje in poslovno odločanje, ki se jih s primerno obdelavo izlušči iz podatkov;
Obdobje strateških IS, kjer se uporablja sodobna informacijska orodja, internet, elektronsko poslovanje in upravljanje znanja (angl. Knowledge Management, KM). To obdobje še vedno traja. Strateški IS je sistem za podporo ter izoblikovanje tekmovalne strategije organizacije in za doseganje in/ali vzdrževanje konkurenčne prednosti.
12
Po Spremiču (2007, str. 9) glede na vlogo informatike v podjetju, razlikujemo tri zrelostne nivoje informatike v poslovanju podjetja (Slika 1 in Tabela 1):
1. Informatika kot tehnična podpora (Tehnologija); 2. Informatika kot procesni in storitveni partner (Procesi); 3. Informatika kot strateški partner in strateška poslovna funkcija (Inovativnost).
Tabela 1: Način uporabe informatike v poslovanju
Način uporabe informatike
Osnovne lastnosti uporabe informatike
Zrelost informatike Naziv organizacijske enote in vodje
informatike
Informatika kot tehnična podpora
Podpora rutinskih aplikacij;
Obdelava podatkov, baze podatkov;
Poročanje managementu;
Selektiven pristop razvoju poslovnih aplikacij.
Zaledna tehnična funkcija;
Obravnava se kot strošek;
Nizek nivo v hierarhiji poslovanja;
Tehnološka podpora poslovanju.
ERC (Elektronski Računski Center)
AOP (Avtomatska Obdelava Podatkov)
Vodja računskega centra.
Informatika kot procesni in storitveni partner
Povezovanje poslovnih funkcij;
Zanesljiva storitev, ki podpira pomembne poslovne procese;
Poročanje vsem nivojem v podjetju, podpora odločanju;
Kakovostna informacijska podpora;
Učinkovitost in izboljševanje poslovnih procesov;
Pomemben partner pri prenovi poslovnih procesov.
Procesni (storitveni) partner;
Informacijske storitve; Temelj za podporo
ključnim poslovnim procesom;
Pomembna vloga v poslovanju.
Oddelek (služba) za informatiko;
Center za informatiko;
Vodja informatike; CIO.
Informatika kot strateški partner in strateška poslovna funkcija
Povezovanje poslovanja in informatike;
Strateško načrtovanje poslovanja na temelju informatike;
Strateška prenova poslovnih procesov;
Inovativnost v poslovanju;
Spremembe modela poslovanja.
Strateška poslovna funkcija;
Vpliv na strategijo poslovanja in konkurenčno prednost.
Sektor za informatiko; Izvršni direktor za
informatiko; CIO.
Vir: M. Spremič, Korporativno upravljanje informatike, 2007, str. 9.
13
Slika 1: Zrelost informatike
Vir: Prirejeno po Gartner 2007 in M. Spremič, 2007, str. 10
Informatika kot tehnična podpora
V preteklosti se je informatika obravnavala predvsem kot tehnološka podpora oz. kot nujna tehnična infrastruktura poslovanju. S stališča časovnega pogleda, lahko zaključimo, da je bila takšna vloga informatike v razvitih trgih pripisana sredi prejšnjega stoletja. V tem času je bilo osnovno poslanstvo informatike tehnična podpora poslovanju in avtomatizacija določenih poslovnih procesov. Glavnina uporabe informatike v poslovanju je temeljila na obvladovanju strojne opreme, medtem ko se o poslovni uporabi praktično ni razmišljalo. Čeprav takšno dojemanje informatike izhaja iz obdobja 60-70 let prejšnjega stoletja, je ponekod tudi dandanes prisoten tak način razmišljanja. Osnovna funkcija informatike v tem obdobju je bila podpora rutinskim opravilom, obdelava podatkov, izdelava poročil, zagotavljanje potrebne infrastrukture, itd. Uporaba informatike kot tehnične podpore je izhajala iz dejstva, da podjetje ni imelo izdelanega strateškega načrta razvoja informatike v odnosu na poslovanje podjetja, kar je posledično pomenilo, da informatike ni moč uporabiti kot partnerja pri iskanju ali zagotavljanju konkurenčne prednosti.
Informatika kot procesni in storitveni partner
V začetku in sredini 80-ih let prejšnjega stoletja se prične intenzivno povezovanje internih poslovnih procesov, k čemur pripomore informacijsko telekomunikacijska tehnologija. V tem obdobju se pričnejo premiki od tehnologije k poslovanju. To obdobje zaznamuje informatiko kot podporo izvajanja ključnih poslovnih procesov in storitev primernega nivoja in kakovosti. Glede na to, da so ključni poslovni procesi podprti z informacijsko tehnologijo, se od nje pričakuje zanesljivo, neprekinjeno delovanje z ustreznim nivojem razpoložljivosti in kakovosti. Pojavljati se pričnejo sporazumi o ravni storitve (angl. Service Level Agreement, SLA), upravljanje neprekinjenega poslovanja (angl. Business Continuity Management, BCM), revizija informacijskih sistemov (angl. Information System Audit), kar nakazuje dejstvo, da informatika postaja vse bolj zrela in tesneje povezana s poslovanjem. V tem primeru
Čas / Kompleksnost odnosov
Zre
lost in
form
atike
/ P
oslo
vn
a v
red
no
st in
form
atike
Informatika kot
tehnična podpora
Informatika kot
procesni in storitveni
partner
Informatika kot
strateški partner
PR
OC
ES
I
TE
HN
OL
OG
IJA
INO
VA
TIV
NO
ST
UČINKOVITOST
OMOGOČANJE
PRETVORBA
TEHNOLOGIJA:
(Zniževanje stroškov)
· Dostopnost
· Odzivnost
· Uporabnost
PROCESI:
(izboljševanje procesa)
· Optimizacija
oskrbovalne verige
· Spremljanje poslovanja
· Produktivnost
INOVATIVNOST:
(Izboljševanje poslovanja)
· Prihodek
· Tržni delež
· Novi proizvodi
· Novi kupci
14
informatika postaja procesni in storitveni partner poslovanju in pomembno sredstvo sprememb in nenehnega izboljševanja poslovnih procesov kot poslovanja samega.
Informatika kot strateški partner
V današnjem času je informatika postala sestavni del našega življenja na vseh področjih, ne samo v poslovnem svetu. Kot posamezniki, podjetja, združba, smo se sprijaznili s tem, da nam uporaba poslovne informatike spreminja življenjske navade in premika paradigme. Informacijske in komunikacijske tehnologije vse bolj in bolj prodirajo v vse proizvode, ustvarjajo nove potrebe in storitve, kar nepovratno spreminjajo poslovne procese. S tem postaja uporaba in učinkovito upravljanje, ključno področje upravljanja in nadzora.
Tretje obdobje uporabe informatike v poslovanju se pojavi na začetku 90-ih let prejšnjega stoletja, označi pa ga predvsem uporaba informatike in njena vloga kot strateškega partnerja poslovanju. Informatika se smatra kot poslovna funkcija, ki pripomore k soustvarjanju konkurenčne prednosti podjetja, izboljšanje poslovanja podjetja (nižji stroški, diferenciacija, rast, povezovanje poslovanja, strateška sprememba poslovnih procesov, itd…). Informatika zavzema vse bolj pomembno mesto v organizacijski hierarhiji podjetja in s tem posledično funkcija vodje informatike (CIO) pripada najvišjemu sloju managementa podjetja.
2.1 Organizacijske oblike upravljanja informatike
Da bi se koncept korporativnega upravljanja informatike lahko izvajal, je pomembno razumeti na kakšen način je organizirano delo informatike v podjetju. Različne oblike organizacije in strukturiranja dela informatike predstavljajo različne izzive z vidika upravljanja na korporativnem in izvršnem nivoju. Po Symonsu (2005) razlikujemo štiri organizacijske oblike:
1. Centralizirana; 2. Decentralizirana; 3. Hibridna; 4. Projektna.
Zelo podobno metodologijo sta predstavila Well in Ross (2004, str. 4). Glede na to, kdo in kako sprejema odločitve (predvsem odločitve povezane z vlaganji v informatiko) razlikujemo šest načinov organiziranja in upravljanja informatike, od strogo centraliziranih, do popolnoma avtonomnih oblik.
Poslovna monarhija (angl. Business Monarchy): v tem načinu odločitve sprejemajo izvršni managerji, ki se nanašajo na celotno podjetje. Pri sprejemanju odločitev je zelo pomembno stališče vodje informatike (CIO), ki je pogosto član izvršnih teles upravljanja.
Informacijska monarhija (angl. IT Monarchy): odločitve sprejemajo samo profesionalni informatiki. Ta način je najpogostejši v primeru delovanja korporativnih teles (odbor za upravljanje informatike), ki so sestavljeni iz izvršnih managerjev in sprejemajo strateške odločitve, ki vplivajo na arhitekturo in smernice bodoče uporabe informatike v poslovanju.
15
Fevdalni model (angl. Feudal): nastane, ko managerji poslovnih funkcij oz. lastniki poslovnih procesov sprejemajo ločene odločitve, ki temeljijo na potrebah njihovih poslovnih področij.
Federalni model (angl. Federal): nastane, ko informacijske odločitve sprejemajo izvršni direktorji in predstavniki poslovne strani oz. lastniki ključnih poslovnih procesov. V proces odločanja lahko vključijo tudi vodjo informatike (CIO). V tem modelu se pogosto dogaja, da večje in pomembnejše enote podjetja vršijo večji pritisk pri sprejemanju odločitev, seveda v njihovo korist. V takšnem primeru, je potrebno z mehanizmom korporativnega upravljanja zagotoviti ustrezno ravnovesje.
Informacijski duopol (angl. IT Duopol): informacijske odločitve se sprejemajo bilateralno med vodji informatike (CIO) in drugih interesnih skupin. Vodje informatike so najpogosteje predstavniki centralizirane organizacijske enote za informatiko, medtem ko je nasprotna stran izvršni management drugih poslovnih funkcij oz. vodje poslovnih enot ali lastniki poslovnih procesov. Duopol se razlikuje od federalnega modela, kajti pri federalnem modelu v postopku sprejemanja odločitev sodelujejo predstavniki korporativnih in nižjih nivojev. Po sprejetju odločitve z njo seznanijo vodjo informatike, ki nima pooblastil sodelovati v procesu odločanja. Pri informacijskem duopolu pa vodja informatike vedno sodeluje pri sprejemanju odločitev.
Anarhija (angl. Anarchy): v primeru anarhije vsaka poslovna enota sprejema svoje informacijske odločitve.
Centralizirana organizacijska oblika informatike
V primeru centralizirane organizacije se vse informacijske odločitve sprejemajo na enem, centralnem mestu. Takšen pristop je lažji za upravljanje in enostavnejši za organizacijo. Osnovna lastnost tega sistema je, da ima podjetje eno samo osebo, ki upravlja z informacijskimi viri. Primer odločitev povezanih z informatiko so odločitve o vlaganjih v informatiko, odločitve o sredstvih informatike, prioritetni projekti, ocena tveganj in revizija informatike, itd. Pobudo za sprejemanje odločitev najpogosteje sproži vodja informatike (CIO), pri čemer zelo tesno sodeluje z generalnim direktorjem podjetja (CEO) (angl. Chief Executive Officer, CEO) in upravo podjetja.
Značilnost centraliziranih organizacij je tudi koncentracija in kontrola informacijskih virov na enem mestu. Govorimo o koncentraciji oz. centralizaciji ključne opreme, infrastrukture (podatkovne, prenosne, komunikacijske...), človeških virov in razvojne iniciative. Pomembna lastnost centralizirane informatike je, da je razvoj novih informacijskih storitev centralno nadzorovan. Pri tem sistemu je zelo pomembno, kakšna je vloga in pozicija informatike v podjetju.
Če govorimo o izvršni, strateški poslovni funkciji, takrat CEO-CIO odnos predstavlja odnos razumevanja in medsebojnega upoštevanja, vloga CIO-ta v odnosu do CEO-ta pa je svetovalne narave. V tem primeru je CIO desna roka CEO-ta in eden od pomembnih članov vodstva podjetja. Pogoj za takšen odnos je, da ima CIO poleg tehničnih znanj tudi zelo dobra poslovna in managerska znanja. Poleg tega mora CEO razumeti informacijska vprašanja še posebno v povezavi s poslovanjem. Slika 2 prikazuje, da poleg CEO-ta, CIO pogosto poroča finančnemu direktorju (CFO) (angl. Chief Financial Officer, CFO). Ta CEO-CIO-CFO trikotnik je
16
najpogosteje odgovoren za celotni proces upravljanja informatike, posebej v segmentu sprejemanja odločitev o izvajanju informacijskih projektov.
Centralizacija prinaša številne prednosti. Največja prednost je predvsem finančna, saj kljub večjemu začetnemu vložku, centralizacija omogoča enotni razvoj novih produktov za več bank istočasno, poleg tega pa pade še cena na transakcijo, saj je potreben en sam center z visoko zmogljivimi sistemi. Enoten informacijski center omogoča tudi večji pregled nad delovanjem posameznih bank ter večjo varnost. Omogoča tudi enotne standarde za vse članice znotraj skupine ter s tem večji nadzor nad posameznimi bankami (Trade Finance, 2004).
Slika 2: Delitev odgovornosti pri upravljanju informatike
Vir: M. Spremič, Korporativno upravljanje informatike, 2007, str. 9.
Situacija je popolnoma drugačna, če informatika ni izvršna poslovna funkcija, temveč samo oddelek oz. služba znotraj neke izvršne poslovne funkcije. V teh primerih odnos CEO-CIO ni neposreden, temveč se odvija posredno. V tem primeru pride v ospredje odnos CIO-CFO, ker je informatika operativna funkcija, je CIO neposredno odgovoren CFO ali pa še nižjemu nivoju znotraj finančnega sektorja – na primer vodji kontrolinga. V tem primeru organizacija predstavlja oviro v razvoju informatike.
Proces upravljanja informatike je v takšnem primeru še v povojih na področju izvršnega upravljanja, medtem ko o korporativnem upravljanju informatike ne moremo niti govoriti. Takšna situacija je opravičljiva le v primeru, ko takšna pozicija informatike ustreza načinu poslovanja, za katerega je primerna le operativna vloga informatike.
Decentralizirana organizacijska oblika informatike
Pri decentralizirani obliki organizacije informatike, so viri informacijskega sistema dislocirani
na fizično različnih lokacijah. Pogost je primer, ko gre za združevanje različnih podjetij v en
informacijski sistem, pri čemer se upošteva tudi decentralizirano upravljanje. Upravljanje v
decentralizirani organizaciji je prepuščeno avtonomnim lokalnim upravljalskim telesom ob
Poročanje o uporabi informatike v poslovanju
Razumevanje informatike kot strateškega partnerja
CEO
CFOCIO
17
koordinaciji najvišjega managementa. V takšnih primerih so procesi upravljanja informatike
pogosto razdvojeni in nekoordinirani. Pogosto se zgodi, da vsaka organizacijska enota vrši
upravljanje s stališča svojih interesov. Vlaganja so tako optimirana le na nivoju posamezne
enote in ne na korporativnem nivoju. Primanjkuje nadzora nad projekti in vlaganji, kar
pogosto povzroči podvajanje infrastrukture in aplikacij z izredno malo sinergije ter
izkoriščanja skupnih virov. Vlaganja so tako omejena zgolj na vzdrževanje obstoječega stanja
oz. zagotavljanja osnovnega nivoja funkcionalnosti storitev, medtem ko je razvoj le malo
zastopan. Decentralizacija finančne funkcije in kontrole najpogosteje povzroči primanjkljaj
razvojnih sredstev v informatiki.
Hibridna organizacijska oblika informatike
Hibridna organizacija predstavlja kombinacijo centralizirane in decentralizirane organizacijske oblike informatike:
Centralizacija ključne strojne opreme, pomembnih razvojnih in upravljalskih aktivnosti in spremljajočih procedur (vzdrževanje, varnost, varnostno kopiranje in arhiviranje), večji del infrastrukture in pomembnih aplikacij;
Decentralizacija opreme, lokalnih podatkov, lokalnih aplikacij in razvojnih aktivnosti.
V primeru hibridne organizacije, organizacijsko višja enota pogosto plačuje uporabo centraliziranih delov infrastrukture in storitev. Centralizirana informatika se v tem primeru organizira kot profitni center, medtem ko decentralizirani deli obdržijo nadzor nad razvojem svojih aplikacij. V tem primeru bi bilo potrebno izkoristiti prednosti obeh načinov: centraliziran nadzor in nižji stroški, na drugi strani pa decentraliziran in hitrejši razvoj aplikacij.
Projektna organizacijska oblika informatike
Projektni način je sodoben pristop organiziranja informatike, ki je zelo podoben hibridnemu
načinu, ker ima centralizirane lastnosti na način, da so ključni informacijski viri in storitve na
enem mestu in pod nadzorom ene osebe (CIO). Razlika nastane v razvojnih aktivnostih,
posebno na področju razvoja ključnih aplikacij. Za razliko od klasičnega pristopa se pri
projektnem pristopu organizacijska struktura vzpostavlja dinamično glede na razpoložljive
vire oz. v skupine razvojnih virov, ki jih imenujemo kompetenčni centri. Skratka iz
tradicionalne organizacijske strukture se izloči razvojno osebje, ki se zbira okrog razvojnih
vizij, idej in iniciativ ter jih izvršuje. Te enote niso več podrejene linijskim vodjem, temveč
vodji projekta oz. vodji kompetenčnega centra. Naloga vodje projekta je pridobiti
najkvalitetnejše kadre, in projekt zaključiti v okviru določenih virov (denar, čas, kvaliteta).
Korporativna telesa nadzirajo izvajanje projektov in njihov vpliv na poslovanje, medtem ko
pomembnost informacijskih projektov in njihov vpliv na poslovanje nezadržno raste.
Korporativna pravila so posebej pomembna v procesu izbire in ocene ekonomske
opravičenosti informacijskih projektov oz. odobritev samih projektov.
18
2.2 Strateška uporaba informatike v poslovanju
Intenzivna uporaba informacijskih sistemov in informacijske tehnologije lahko prinese poslovanju številne strateške koristi in vpliv na konkurenčno prednost, v kolikor so cilji uporabe usklajeni in podpirajo strateške cilje poslovanja. Michael Porter, profesor na Harvard Business School ter starosta na področju poslovne strategije ter poslovnih procesov je opredelil tri načine, na katere vpliva informacijska revolucija na trg (Daniels, 1994, str. 15-20):
1. Spreminja strukturo dejavnosti in spreminja naravo konkurence na način, da povečuje moč kupca, povečuje prag vstopa konkurence in vpliva na pojav nadomestnih proizvodov.
2. Vpliva na oblikovanje konkurenčne prednosti z znižanjem stroškov, povečevanjem diferenciacije, povezovanje s partnerji, ipd.
3. Odpira možnost novih poslov in procesov, pogosto tudi znotraj obstoječih poslovnih procesov, oblikuje nove potrebe, nove proizvode in avtomatizacijo poslovanja.
Če želimo informacijski sistem uporabiti kot strateški sistem, ki preko verige dodane vrednosti organizaciji omogoča spremljanje, primerjavo in izboljšanje konkurenčne prednosti, so izrednega pomena tudi kadri v organizaciji, zlasti vodilni, poslovna strategija, organizacijska struktura in procesi. Zavedati se je treba medsebojnih vplivov posameznih ključnih dejavnikov, ki v procesu strateškega načrtovanja ne smejo biti ločeni na poslovne (kadri, poslovna strategija, organizacijska struktura in procesi) in informacijske (kadri, strategija informatike, obstoječe rešitve na področju informatike) (Groznik et al., 2006, str. 5).
Vpliv informatike na dejavnost
Vsaka dejavnost temelji na neki infrastrukturi s pomočjo katere se podjetja pozicionirajo na trgu. Kot primer lahko navedem bančništvo, pri katerem je bilo v preteklosti pomembno imeti široko distribuirano mrežo poslovalnic, da je bilo bančno okence čim bolj dosegljivo komitentom. Na ta način so se banke približale komitentu in osvajale trg. Tak pristop je zahteval veliko vlaganj v infrastrukturo oz. odpiranje novih poslovalnic, ki so pogosto imele majhne donose. Danes si ne znamo več predstavljati učinkovito poslovanje banke brez uporabe modernih in povezanih informacijskih sistemov in tehnologij, npr. elektronsko bančništvo. Banke in ostale finančne institucije, ki so pravi čas razumele strateško vrednost informacijske tehnologije so pridobile konkurenčno prednost in postavile nove standarde poslovanja v dejavnosti. Pozicija managementa informatike v teh bankah je na nivoju izvršnega managementa. Podjetja, ki z uporabo informacijske tehnologije in sistemov injicirajo spremembo strukture dejavnosti postavljajo nove standarde poslovanja, kar jim prinaša konkurenčno prednost. Na ta način informatika strateško vpliva, ne samo na poslovanje podjetja, temveč tudi na strukturo dejavnosti. Seveda informacijske rešitve, ki prinašajo konkurenčno prednost podjetju ni nujno, da spreminjajo strukturo dejavnosti. To lahko dosežemo tudi z avtomatizacijo procesov, nižanjem stroškov, itd.
19
Informatika kot izvor konkurenčne prednosti
Uporaba informacijske tehnologije v poslovanju ima zelo jasen cilj: omogočiti in vzdrževati konkurenčno prednost podjetja. Intenzivna uporaba informatike v poslovanju lahko podjetjem omogoča ustvarjanje konkurenčne prednosti na različne načine (Spremič, 2007, str. 43):
hitrejše prilagajanje tržnim spremembam, višji nivo storitve, nadzor nad stroški, izboljšanje kvalitete proizvodov in storitev, globalizacijo poslovanja, ustvarjanje strateških povezav.
Informatika kot izvor inovativnosti
Informacijska tehnologija se vgrajuje v vse več proizvodov oz. je sestavni del vse večjega števila storitev. Na ta način proizvodi in storitve postajajo »pametni«, s samo obdelavo informacij in komunikacijo s svojim okoljem, je njihov učinek izboljšan. Sledenje informacijskih tokov omogoča spremembo v poslovanju, generira popolnoma nove poslovne procese in ustvarja dodano vrednost. Informatika se pojavlja kot gonilna sila prenove poslovnih procesov.
2.3 Strategije informatike v poslovanju
Poslovna strategija določa strateške usmeritve organizacije, ki naj bi podjetju zagotovile dolgoročno uspešno poslovanje, strategija informatike pa je v tesni povezavi s poslovno strategijo in ostalimi ključnimi dejavniki. Ta opozarja na možnosti in nevarnosti, ki se v okviru informacijskega sistema pojavljajo pri poslovanju organizacije, in je usmerjena v najučinkovitejšo uporabo informacijske tehnologije v korist uspešnega poslovanja celotne organizacije. Vendar so izrednega pomena tudi preostali kadri v organizaciji, zlasti vodilni, poslovna strategija, organizacijska struktura in procesi. Zavedati se je potrebno medsebojnih vplivov posameznih ključnih dejavnikov, ki v procesu strateškega načrtovanja ne smejo biti ločeni na poslovne in informacijske (Groznik & Kovačič, 2001, str. 5).
Ena izmed najpomembnejših aktivnosti strategije informatike je, določiti njeno optimalno vlogo v organizacijski hierarhiji. Ta proces je pogosto nujen predpogoj za izdelavo strateškega načrta informatike, ki temelji na iskanju optimalne organizacijske vloge in pristojnosti glede na poslovne prioritete in cilje. Nejasno ali napačno določena vloga informatike v poslovanju bo povzročila povečanje strateškega tveganja, napačnega vlaganja, pomanjkanja nadzora nad informacijskimi projekti brez ustrezne podpore poslovnim ciljev. Poleg tega, če najvišji management podjetja in nadzorna telesa niso seznanjeni s strateškimi informacijskimi vprašanji, je pričakovati, da se korporativno upravljanje informatike ne izvaja kot poslovna funkcija. To je vzrok problemov oz. slabosti in predstavlja ranljivost kontrolnega sistema, zaradi česar se poveča verjetnost nastanka ostalih tveganj.
20
Uspešno upravljanje informatike podjetja je ključno za doseganje konkurenčne prednosti v mnogih gospodarskih segmentih. Cilj informatike je torej ustvariti partnerstvo med managementom in informatiko, ki mora izhajati in vplivati na poslovno strategijo podjetja. Povezava med poslovno strategijo in delovanjem informatike mora biti močna, a hkrati dovolj agilna za hitre spremembe in prilagoditve (Košak et al., 2006).
Tabela 2: Model za določanje vloge informatike v podjetju
NIZ
KA
DO
VIS
OK
A P
OTR
EBA
PO
ZA
NES
LJIV
I IN
FOR
MA
TIK
I
REAKTIVNA STRATEGIJA PROAKTIVNA STRATEGIJA
Operativna pomembnost Strateška pomembnost
Že krajša prekinitev (ena minuta ali več) pomeni prekinitev odvijanja ključnih poslovnih procesov;
Če je sistem neodziven, ima to resne posledice na delo celotnega sistema;
Večina ključnih sistemov je dostopna v realnem času (angl. on-line);
Potrebna so stalna vlaganja in vzdrževanje sistema;
Sistem omogoča nižje stroške poslovanja in strateško diferenciacijo.
Že krajša prekinitev (ena minuta ali več) pomeni prekinitev odvijanja ključnih poslovnih procesov;
Če je sistem neodziven, ima to resne posledice na delo celotnega sistema;
Novi sistem omogoča spremembo poslovnih procesov in storitev;
Novi sistem omogoča veliko stroškovno racionalizacijo;
Novi sistem omogoča strateško prednost pred konkurenco (nižji stroški, boljša storitev…).
Podpora poslovanju Pretvorni način
Izpad sistema nima večjega vpliva na odvijanje poslovanja;
Notranji sistemi niso dostopni zunanjim partnerjem in kupcem;
Podjetje lahko zelo hitro vzpostavi ročno vodenje poslovanja z do 80% poslovnih transakcij;
Potrebna so vlaganja in vzdrževanje sistema;
Novi sistem bo spremenil način poslovanja s konkurenčno prednostjo pred konkurenco;
Novi sistem omogoča spremembo poslovnih procesov in storitev;
Novi sistem omogoča veliko stroškovno racionalizacijo;
Novi sistem omogoča strateško prednost pred konkurenco (nižji stroški, boljša storitev…);
Vlaganja v informatiko predstavljajo več kot 50% kapitalskih vlaganj podjetja;
Načrtovani stroški informatike predstavljajo več kot 15% skupnih stroškov podjetja.
NIZKA DO VISOKA POTREBA INOVATIVNE INFORMATIKE
Vir: M. Spremič, Korporativno upravljanje informatike, 2007, str. 48.
Pri določanju vloge informatike v poslovanju nam je lahko v pomoč McFarlanov model strateške matrike (McFarlan et al., 1983). Čeprav je model nastal pred več kot dvajsetimi leti, še vedno predstavlja referenčni model za določanje ustreznosti položaja informatike. Po tem modelu je organizacijska struktura informatike funkcija dveh spremenljivk (strateška pomembnost obstoječih in prihodnjih informacijskih sistemov) in odvisno od pomembnosti teh spremenljivk, razlikuje štiri organizacijske tipe (Panian, 2001, str. 41-43):
1. Podporni; 2. Storitveni; 3. Pretvorni; 4. Strateški.
21
Dvajset let po nastanku modela, ga je McFarlan s sodelavci dopolnil in prilagodil novonastalim okornostim. Nolan in McFarlan sta leta 2005 (2005, str. 96-106) skupaj dopolnila model strateške matrike (angl. Strategic Grid) po kateri ločimo dve osnovni strategiji informacijskega sistema oz. dve vlogi informatike v poslovanju (Tabela 2).
Reaktivna (defenzivna) informatika (angl. Defensive IT)
Osnovna naloga informatike je zagotoviti stroškovno učinkovitost, zanesljivo in varno tehnološko osnovo za izvajanje poslovnih procesov. Uporaba zanesljivih in vedno dostopnih informacijskih sistemov je bolj pomembna kot razvoj inovativnih rešitev s katerimi lahko vplivamo na strategijo poslovanja. Pogost je primer podjetij, ki so z uporabo inovativnih informacijskih sistemov ustvarili konkurenčno prednost in to strategijo uporabljajo za njeno vzdrževanje. Pri uporabi tovrstne strategije informatike, nadzorna telesa in uprava podjetja potrebujejo zagotovilo, da je informacijska infrastruktura popolnoma zanesljiva, varna in varovana s strani raznih tveganj, medtem ko so njeni stroški pod nadzorom. Seveda govorimo o strateški uporabi informatike v poslovanju, kjer tudi najmanjši izpad, prekinitev ali motnje v delovanju informacijskega sistema, lahko pripeljejo do velikih izgub, oz. izpostavljenosti podjetja velikemu tveganju. Iz tega razloga je najpogostejša praksa, da odbor za revizijo skrbi za izvajanje kontrole in revizije informacijskih sistemov. Člani revizijskega odbora morajo imeti dovolj znanja in strokovnosti v izvajanju kontrole in revizije informacijskih sistemov in upravljanja z informacijskimi tveganji.
Proaktivna (ofenzivna) informatika (angl. Ofensive IT)
V tej strategiji informatika poleg nujne podpore poslovanju in izvajanju kritičnih poslovnih procesov, deluje tudi strateško kot generator konkurenčne prednosti. Ofenzivna in proaktivna vloga informatike v poslovanju nastane, ko so strateški razlogi uporabe informatike v poslovanju na enakem ali višjem nivoju kot zanesljivost in dostopnost sistema. Ofenzivna vloga informatike v poslovanju pomeni, da se informatika uporablja kot vzvod za inovacije poslovanja in radikalne spremembe poslovanja (transformacija poslovanja). Takšne aktivnosti so ambiciozne in tvegane, vendar tudi potencialno donosne. Podjetja se odločijo za to strategijo, ko želijo izboljšati svoj konkurenčni položaj in ogroziti oz. napasti tržnega vodjo. Pogost način napada je uporaba inovativne tehnologije in informacijskih sistemov s katerimi dosežemo operativno učinkovitost (nižji stroški poslovanja), vzporedno z radikalno spremembo poslovnih procesov. Ta zapletena strategija ima pogosto dvojni značaj: podjetje mora vlagati v popolno in natančno delovanje obstoječih sistemov in infrastrukture, ter istočasno nenehno razvijati popolnoma nove inovativne sisteme, ki bodo omogočili in ohranjali konkurenčni položaj. Strategija tako predstavlja odvisnost podjetja od informatike pri doseganju in vzdrževanju konkurenčne prednosti, ustvarjanju dodane vrednosti in približevanje h kupcu. Glede na to, da se informatika uporablja v strateške namene, za njeno skrb ne more biti zadolžen odbor za revizijo. Podjetja, ki uporabljajo to strategijo običajno ustanovijo posebna svetovalna in nadzorna telesa za korporativno upravljanje informatike (angl. IT Governance Committee).
22
Reaktivna strategija kot podpora poslovanju (angl. Support Mode)
Osnovni cilj uporabe informatike je operativna in tehnološka podpora poslovanju. Informacijski sistem in informacijska tehnologija niso kritične poslovne funkcije in se najpogosteje uporabljajo kot podporna dejavnost zaposlenim. Redki so primeri kritičnih poslovnih procesov, ki so neposredno podprti oz. odvisni od delovanja informacijskih sistemov. Prav tako ni prisotna integracija in povezovanje ostalih organizacijskih enot in partnerjev, temveč je informatika usmerjena na podporo lokalnih poslovnih procesov, kar ustvarja tki. »informacijske otoke« oz. skupine med seboj nepovezanih aplikacij in baz podatkov. Čeprav je informatika zelo pomembna za poslovanje, uporaba informacijske tehnologije ne izpostavlja podjetja velikim tveganjem. Informacijski sistem se v glavnem uporablja interno, transakcijski sistemi niso dostopni kupcem, dobaviteljem ali partnerjem, izpadi informacijskega sistema bistveno ne vplivajo na poslovanje. Primer uporabe informatike kot operativne podpore poslovanju opisujejo naslednji primeri:
Kritični poslovni procesi niso odvisni od delovanja informatike in informacijskega sistema (dostopnost in zanesljivost sistema ni kritična);
Informacijska tveganja so lahko obvladljiva in nadzorovana, saj poslovanje ni odvisno od delovanja informacijskega sistema;
Ponovljive prekinitve ali izpadi informacijskega sistema (npr. do 12 ur) ne vplivajo resneje na izvajanje poslovnega procesa in ne predstavljajo resnejših tveganj;
Hitrost odziva informacijskega sistema in hitrost obdelav podatkov ni ključna pri izvedbi poslovnega procesa in transakcije, medtem ko se obdelave kritičnih poslovnih procesov odvijajo v paketnih obdelavah (angl. Batch Processing);
Notranji transakcijski sistemi niso dostopni kupcem, dobaviteljem in partnerjem, temveč so namenjeni zgolj interni uporabi;
Po prekinitvi ali izpadu informacijskega sistema, se podjetje zelo hitro in brez dodatnih stroškov preusmeri na ročno izvajanje poslovnih procesov. Tak način dela ne more ogroziti poslovanja oz. povečevati tveganja;
Ni formalnega sistema upravljanja informatike, medtem ko je CIO del operativnega nivoja v organizaciji. CIO je najpogosteje odgovoren finančnemu direktorju (CFO) in le redko ima dostop do najvišjega managementa podjetja;
Odločitve o vlaganjih se sprejemajo stihijsko, brez predhodnih analiz poslovanja; Vlaganja v informatiko so večinoma povezana z vzdrževanjem obstoječe opreme in
sistemov, le redko se vlaga v razvoj.
Reaktivna strategija kot operativna pomembnost (angl. Factory Mode)
Osnovna lastnost uporabe informatike je, da so številni kritični poslovni procesi odvisni od podpore informacijskega sistema. Podjetje potrebuje zanesljivo, varno in vedno dostopno informacijsko podporo. Že kratka prekinitev delovanja informacijskega sistema ali posameznih storitev (npr. ena minuta ali več) pomeni prekinitev ključnih poslovnih procesov, kar vnaša veliko tveganje v poslovanju in lahko povzroči nepopravljivo škodo. Med ključne dejavnike uspeha in kazalce ugotavljanja uspešnosti se prišteva tudi dostopnost informacijskega sistema (npr. strateški cilj poslovanja je 99,994% razpoložljivost sistema, naloga managementa informatike je, da takšno zahtevo zagotovi na stroškovno učinkovit način).
23
Informacijski sistem je pomembno sredstvo povezovanja notranjih poslovnih procesov in integrator celotnega poslovanja. Njegove meje segajo do samega kupca, dobavitelja in partnerja. To pomeni, da informacijski sistem uporabljajo tudi pooblaščeni uporabniki izven organizacije, kar prinaša velike stroškovne prihranke in predstavlja temelj operativne učinkovitosti. Podjetje in management si težko predstavlja učinkovito poslovanje brez stalne podpore informacijskega sistema. Vprašanja povezana z informatiko so redna tema kolegijev najvišjega vodstva. Zelo pogosto se za samo poslovanje uporablja tudi internetne tehnologije, pri čemer je večina poslovnih procesov dostopnih (angl. on-line). To pomeni, da se v podjetju izvaja koncept elektronskega poslovanja oz. se aktivno uporablja razširjeno povezano omrežje (angl. Extranet). Poslovanje je zaradi tega izrazito odvisno od informacijske podpore in že najmanjši izpadi sistema (npr. ena sekunda) imajo lahko resne posledice in škodo za poslovanje.
Poslovanje v tem primeru potrebuje visoko zanesljivo, varno in stalno dostopno informatiko. Informatika mora biti zrela, uporabljati je potrebno preverjene rešitve in tehnologije. Ključni informacijski procesi so kontinuirano poslovanje, kontrola infrastrukture, načrt dela po prekinitvi (angl. Business Continuity Plan, BCP) in kontrola vlaganj in zrelost sistema. Primer uporabe informatike kot zanesljive podpore poslovanju opisujejo naslednji primeri:
Informatika podpira kritične poslovne procese znotraj in izven organizacije; Že krajši izpad ali omejena funkcionalnost informacijskega sistema ima lahko
nepopravljive posledice za poslovanje; Informatika temelji na zreli in preverjeni tehnologiji; Upravljanje s kontinuiteto poslovanja spada med kritične aktivnosti; Pomembna je stalna spremljava kazalcev učinkovitosti in redno izvajanje revizije
informacijskega sistema; Uporaba informatike je temelj operativne učinkovitosti, kar omogoča nižanje
stroškov; Informatika ni izvor diferenciacije in strateške prednosti.
Proaktivna strategija kot pretvorni način (angl. Turnaround Mode)
Podjetja običajno uporabijo to strategijo informatike ob velikih informacijskih projektih in prenovi poslovnih procesov. Ta podjetja se najpogosteje nahajajo v sami spremembi in transformaciji poslovanja, medtem ko informatiko uporabljajo kot sredstvo in vzvod za doseganje konkurenčne prednosti. Značilnost te strategije so velika vlaganja v informacijsko tehnologijo (več kot 50% kapitalnih odhodkov in več kot 15% skupnih stroškov), visok nivo tveganja in na drugi strani vzdrževanje konkurenčne prednosti. V primeru te strategije obstaja visoka potreba po inovativni in relativno majhna potreba po zanesljivi informatiki. To ne pomeni, da se podjetje ne ukvarja z dostopnostjo in zanesljivostjo obstoječega informacijskega sistema, temveč ga v relativno kratkem časovnem obdobju želi zamenjati z novo inovativnejšo rešitvijo. Novi sistem mora omogočiti bistveno izboljšanje poslovnih procesov in storitev, veliko stroškovno učinkovitost in potencialno tržno vodstvo. Ta strategija je zaradi odvisnosti od novih ali prihajajočih tehnologij zelo tvegana. Podjetja, ki med prvimi uspejo implementirati neko novo tehnično rešitev (kot primer: Wal-Mart in RFID tehnologija, American Airlines in SABRE, EasyJet in Ryanair in internetni rezervacijski sistem itd.) običajno zelo dolgo časa uspejo zadržati svojo konkurenčno prednost. Lahko pa pride do
24
situacije, ko neka tehnologija ni dovolj zrela in zanesljiva, oz. jo trg ne sprejme v meri, kot je bilo pričakovano (kot primer: telekomunikacije in 3G omrežje, itd.).
Glede na to, da tovrstna podjetja intenzivno vlagajo v informatiko z namenom doseganja konkurenčne prednosti in da je njihovo poslovanje izpostavljeno tveganjem, se te strategije poslužujejo le na kratek čas. To je običajno obdobje implementacije informacijskih projektov po katerem management odredi novo strategijo podjetja, ki je najpogosteje operativna ali strateška. V tem obdobju je manjša potreba za zanesljivim neprekinjenim sistemom, obstoječi sistemi so dovolj enostavni, da se lahko kontrolirajo tudi z ročnimi postopki.
Za to strategijo je obvezna kontrola in nadzor s strani uprave in korporativnih teles upravljanja. To se predvsem nanaša na upravljanje s tveganji in kontrole izvajanja informacijskih projektov. Nadzor se poleg službe za revizijo vrši tudi s strani posebnih odborov za upravljanje informatike. Poleg tega neposreden nadzor vršijo tudi člani uprave in nadzornega odbora.
Proaktivna strategija kot strateška pomembnost (angl. Strategic Mode)
V tem primeru se informatika uporablja kot sredstvo stalne inovacije poslovanja s ciljem vzdrževanja konkurenčne prednosti in tudi kot zanesljiva, varna in visoko razpoložljiva infrastruktura, ki podpira odvijanje poslovnih procesov. Govorimo o visoko tvegani dualni strategiji, ki jo je težko implementirati, nadzorovati uvedbo in upravljati s tveganji. Osnovna značilnost strateške uporabe informatike so tudi visoki stroški oz. velika vlaganja:
intenzivna vlaganja v informatiko (razvoj novih inovativnih sistemov) s ciljem dosegati bodoče konkurenčne prednosti in
intenzivna vlaganja v zanesljiv, visoko razpoložljiv informacijski sistem, ki podpira izvajanje poslovnih procesov.
Kot pri strategiji operativne pomembnosti, tudi tukaj že kratka prekinitev delovanja informacijskega sistema pomeni zastoj v odvijanju poslovnih procesov in s tem veliko tveganje in težave samega poslovanja. Uporaba zanesljivih, varnih, hitrih in točnih obstoječih sistemov omogoča podjetju konkurenčno prednost, ki je odvisna od nadaljnjega razvoja informacijskega sistema. Ta strategija oz. vloga informatike ni primerna za vsa podjetja. Nekatera podjetja so prisiljena v uporabo (kot primer: procesna industrija, avtomobilska industrija, letalska industrija, itd.), ker jih pritisk konkurence prisili v stalno vlaganje v sisteme, ki jim omogočajo strateško prednost. Glede na to, da govorimo o precej visokih vlaganjih in tveganjih, morajo imeti podjetja zelo dobro izdelan sistem upravljanja informatike na korporativnem nivoju. To predvsem pomeni, da mora biti informatika strateška poslovna funkcija in vodja informatike član uprave oz. član najvišjega izvršnega managementa. Primer uporabe informatike kot strateške funkcije v poslovanju, opisujejo naslednji primeri:
Tudi zelo kratki izpadi delovanja (npr. manj kot minuta) informacijskega sistema pomeni prekinitev izvajanja ključnih poslovnih procesov;
Če se sistem ne odziva na zahteve oz. se njegov odziv podaljša ima to močan vpliv oz. resne posledice na delo notranjih in zunanjih uporabnikov;
Novi sistemi omogočajo spremembo poslovnih procesov in storitev;
25
Novi sistem omogoča visoko stroškovno učinkovitost; Novi sistem omogoča strateško prednost nad konkurenti (nižji stroški, boljša storitev,
boljšo zmogljivost poslovnih procesov).
2.4 Vloga vodje informatike (CIO)
Vodja organizacijske enote zadolžene za upravljanje informatike je glavni manager informatike (angl. Chief Information Officer, CIO), ali z drugimi nazivi, direktor informatike, IT manager, vodja informatike. Kot se je skozi čas spreminjala vloga informatike v poslovanju, so se skladno s tem spreminjale tudi odgovornosti in obveznosti CIO-ta. Sodoben način poslovanja postavlja pred CIO-ta nove izzive in naloge. Med njih sigurno lahko prištejemo tudi korporativno upravljanje informatike, in z njim povezane aktivnosti kot so:
izdelati strateški načrt informatike in aktivno sodelovati pri izdelavi strateškega poslovnega načrta podjetja,
določiti optimalno vlogo informatike v poslovanju – imeti vizijo uporabe tehnologije in virov informacijske tehnologije glede na cilje poslovanja,
prevzeti pobudo za spremembo poslovnih procesov v smeri znižanja stroškov, povečanja storilnosti in izboljšanja kvalitete,
redno izvajati ocene ekonomske upravičenosti vlaganja v informatiko, spremljati uspešnost in tveganja katerim je izpostavljeno poslovanje,
vzpostaviti učinkovite mehanizme kontrole, znotraj informacijskega sistema, promovirati informatiko v podjetju in najvišjemu managementu razložiti poslovno
vrednost informatike in njen vpliv na samo poslovanje, zagotavljati ustrezen nivo varnosti in razpoložljivosti ključnih poslovnih procesov,
itd…
Poleg zgoraj naštetih aktivnosti, mora imeti vodja informatike ustrezna managerska znanja, poleg tehničnih znanj pa mora imeti tudi ustrezna poslovna znanja in veščine (glej tabelo 3), kar pomeni odlično poznavanje poslovnih procesov in poslovanja podjetja, razumevanje finančnih izkazov podjetja, veščine vodenja, motiviranja, reševanje konfliktnih situacij, znanje iz področja vodenja projektov, znanja pogajanj, upravljanje z ljudskimi viri (Broadbent, 2005), itd.
Pogosto CIO postane glavni nosilec spremembe poslovanja in poslovnih procesov (angl. Chief Innovation Officer), oz. ključna oseba v podjetju zadolžena za inovacije poslovanja in izboljšanja poslovnih procesov. Njegovo delo je izrazito dinamično, polno izzivov in z naraščanjem pomena informatike v samem poslovanju podjetja, njegovo delo postaja vse bolj pomembno. Pogosti so primeri, ko CIO postane CEO (angl. Chief Executive Officer, CEO).
Za uspešno in učinkovito vodenje informatike poleg sposobnega vodstvenega kadra pomembno vlogo igrajo tudi številni drugi pomembni pogoji. Razsežnost vodenja informatike se največkrat obravnava predvsem s treh vidikov in sicer (Groznik & Babnik, 2007, str. 2):
položaj in vloga vodje informatike, odnos med vodjo informatike (CIO) in generalnim direktorjem/predsednikom uprave
(CEO),
26
odnos najvišjega vodstva do informatike in sodelovanje generalnega direktorja ter ostalih članov vodstva pri aktivnostih povezanih z informatiko.
Tabela 3: Lastnosti CIO-ta.
OSEBNE LASTNOSTI (angl. Behavioural) POSLOVNA / MANAGERSKA ZNANJA (angl. Business)
H1 – vodenje, motiviranje, oblikovanje timov B1 – razumevanje poslovnega modela, strategije in pristopov
H2 – kreativno razmišljanje in inovativnost B2 – poznavanje organizacije, politike in kulture
H3 – osredotočanje na rezultate B3 – tržno obnašanje, poznavanje tehnik managementa in vodenja
H4 – strateško razmišljanje B4 – poznavanje tehnik konkurenčne analize
H5 – sposobnost delegiranja in »coachinga« B5 – upravljanje s projekti
H6 – vzdrževanje dobrih poslovnih in medčloveških odnosov za timsko delo
B6 – upravljanje s spremembami v poslovanju ob uvajanju novih informacijskih sistemov
H7 – vplivnost in moč prepričevanja B7 – načrtovanje, vodenje, voditeljstvo in karizma
H8 – sposobnost pogajanja B8 – komunikacijske sposobnosti
H9 – obvladovanje konfliktov in problemov B9 – osredotočanje na kupce in njihove potrebe
H10 – prilagodljivost
TEHNIČNA ZNANJA (angl. Technical) T1 – spremljava novih trendov in tehnologij
T2 – popolno razumevanje informacijskega sistema in tehnologije, na kateri le ta temelji
T3 – znanje razvoja, oblikovanja in nadzora oblikovanja aplikacij
T4 – spremljava in uvedba standardov, procedur in normativov s področja informacijske tehnologije
T5 – povezovanje sistemov in izkušnje pri vodenju kompleksnih informacijskih projektov
Vir: Prirejeno po Broadband, 2005.
3 UPRAVLJANJE INFORMATIKE
Korporativno upravljanje (angl. Corporate Governance) predstavlja institucionalni okvir, znotraj katerega se določajo cilji poslovanja, način doseganja ciljev in metrike s katerimi spremljamo uspešnost in učinkovitost (OECD, 2004, str. 24). Gre za kontinuirane aktivnosti s strani korporativnih teles upravljanja (uprava, nadzorni odbor in ostala telesa) s katerimi se poslovanje podjetja usmerja, nadzira in kontrolira. Poleg strateške usmeritve, ki od korporativnega vodstva zahteva vizijo in inovativni pogled v prihodnost, je pomemben segment korporativnega upravljanja, trdna pravila in uravnotežen sistem nadzora tveganj in kontrole poslovanja. V tem pogledu je cilj korporativnega upravljanja pomoč podjetju pri sistematičnem in koordiniranem upravljanju vseh tveganj in učinkovitemu sistemu notranjih kontrol. Temeljni proces korporativnega upravljanja je zagotoviti institucionalni okvir in pravila o tem, kdo je odgovoren za katere odločitve in na kakšen način se te odločitve sprejemajo, medtem ko se organizacijsko oz. funkcijsko vodenje (angl. Management) nanaša na proces izvrševanja teh odločitev (Slika 3).
27
Slika 3: Organizacijski pogled na korporativno upravljanje informatike in vodenje informatike
Vir: M. Spremič, Korporativno upravljanje informatike, 2007, str. 16.
Upravljanje informatike (angl. IT Governance) organizaciji prinaša številne koristi, tako znotraj organizacije, kot tudi izven nje. Upravljanje informatike je ena izmed ključnih funkcij pri vodenju celotne organizacije. Lahko rečemo, da je upravljanje informatike ena izmed funkcij, ki danes podjetjem omogoča poslovne uspehe oziroma je vzrok za neuspehe. Ustrezna opredelitev funkcij vodje informatike, ustrezna struktura informatike, usklajenost poslovne strategije celotne organizacije s strategijo informatike, vse to so dandanes ključni dejavniki, ki organizaciji omogočajo kakovostno poslovanje. Zaradi vseh teh dejavnikov mora biti ena izmed pomembnih nalog najvišjega vodstva tudi iskanje ustrezne usklajenosti informatike s poslovanjem celotne organizacije (Calder, 2005).
Zanimanje za korporativno upravljanje informatike se je povečalo predvsem z nastopom usklajevanja upravljanja z zakonskimi predpisi (kot primer: Sarbanes-Oxley, Basel II, Solvency I in II) oz. z uporabo najpogosteje uporabljenih okvirjev (kot primer: CobiT, ITIL, ISO 27001). Vpeljevanje teh oz. podobnih zakonskih predpisov se nanaša predvsem na sposobnost korporativnih teles in managementa po učinkovitem obvladovanju tveganj, nadzoru nad poslovanjem in učinkovitemu sistemu notranjih kontrol. Zanimanje za korporativno upravljanje se povečuje tudi zaradi vse večjega ozaveščanja managementa podjetja o zmožnosti vpliva informatike na poslovanje.
Nolan in McFarlan (2005) ugotavljata, da morajo uprava podjetja in njena korporativna telesa vedeti, na kakšen način so poslovni procesi in samo poslovanje odvisni od informacijske infrastrukture. Uprava mora biti prepričana, da management ve, s kakšnimi informacijskimi viri razpolaga, v kakšnem stanju so ti viri in kakšna je njihova vloga in doprinos pri ustvarjanju prihodkov podjetja. Izguba nadzora nad informatiko izpostavi poslovanje tveganju, za katerega lahko trdimo, da je enak kot netočno finančno poročilo (Nolan & McFarlan, 2005). Glede na rezultate raziskave (Weill & Ross, 2004), 95% generalnih direktorjev smatra, da je uspešna izvedba informacijskih projektov ključni dejavnik poslovnega uspeha, medtem ko 50% njih, skoraj nikoli ne razpravlja o informacijskih temah na sestankih najvišjega vodstva podjetja. Med drugim le 38% generalnih direktorjev razume
Korporativno upravljanje
(uprava, nadzorni odbor,
lastniki …)
Izvršni management
CEO
Finančni direktor
CFO
Vodja informatike
CIO
Ostali funkcijski vodje
CxO
RazvojOstale informacijske
funkcijeProjekti
Korporativno
upravljanje
Informatike
(IT Governance)
Vodenje
informatike
(IT Management)
28
in zna opisati proces upravljanja informatike v svojem podjetju, medtem, ko je ta odstotek v podjetjih, ki so v tržnem vodstvu precej višji in znaša med 60 in 80% (Weill & Ross, 2004).
Ugledno svetovalno podjetje Forrester pojem korporativnega upravljanja informatike definira kot proces, s pomočjo katerega se sprejemajo odločitve o vlaganju v informatiko (Symons, 2005). Kako se sprejemajo te odločitve, kdo jih sprejme, kdo je odgovoren za njihovo izvedbo, kako se nadzira izvajanje, kako se meri uspešnost izvedbe, so pomembni deli procesa upravljanja informatike na korporativnem nivoju.
IT Governance Institut definira pojem korporativnega upravljanja informatike kot korporativne izvršne strukture in procese, ki omogočajo, da informatika izvršuje strategijo in cilje poslovanja (ITGI, 2003, str. 10).
Australian Standard for Corporate Governance of ICT, definira korporativno upravljanje informatike kot sistem, s pomočjo katerega se usmerja in kontrolira trenutna in prihodnja uporaba informacijskih sistemov v poslovanju (AS8015, 2005).
Če povzamem te definicije, lahko zaključim, da vsa podjetja na tak ali drugačen način izvajajo »upravljanje«. V veliko primerih gre za proces upravljanja informatike, ki je neformalen, nekoordiniran, stihijski, lahko tudi kaotičen, ni povezan s poslovanjem in nima podpore na najvišjem nivoju managementa. Poleg tega lahko tudi primanjkuje korporativne politike in postopkov, ni formalnih odgovornosti in pooblastil, itd.
Glede na naravo informacijskih virov, ki obsegajo zelo široko področje, na drugi strani pa so zelo ozko povezani z drugimi ključnimi poslovnimi viri (finančni, ljudski, fizični, intelektualni…), le te ni moč izločiti in izolirati iz procesa upravljanja celotnega poslovanja podjetja, temveč jih je potrebno vključiti v sklop korporativnega upravljanja. To pomeni, da za proces upravljanja informatike in celotno informacijsko infrastrukturo, ni odgovoren samo vodja informatike (CIO), temveč tudi uprava podjetja in izvršni direktorji podjetja (CxO – izvršni nivo upravljanja podjetja).
Osnovna ideja korporativnega upravljanja informatike je, da se odločitve vezane za upravljanje informatike ne prepuščajo samo vodji informatike (CIO), temveč pomembno vlogo prevzame tudi najvišji management, nadzorna telesa in vse strateške poslovne funkcije. S tem postane upravljanje informatike sestavni del korporativnega upravljanja z osnovno nalogo usklajevanja ciljev informatike in informacijskega sistema s strateškimi cilji poslovanja (ITGI, 2003, str. 12). Takšen način upravljanja se hitro izrazi tudi v rezultatih podjetja. Podjetja, ki so vodilna na tem področju, dosegajo tudi do 40% boljšo donosnost naložbe (angl. Return On Investment, ROI), kot konkurenčna podjetja, seveda na področju informatike. Podjetja, ki učinkovito upravljajo informatiko imajo vsaj 20% boljše poslovne rezultate kot podjetja, ki sledijo enaki strategiji brez učinkovitega upravljanja z informatiko (Weill & Ross, 2004, str 1).
3.1 Načela in telesa upravljanja informatike
Upravljanje informatike zajema različne nivoje managementa, kjer vodje na vseh nivojih poročajo in dobivajo usmeritve od svojih nadrejenih do samega izvršnega nivoja. Poročila o odstopanjih oz. doseganju ciljev običajno vsebujejo tudi priporočila za korekcijo. Seveda tak
29
način dela zahteva usklajenost strategije in ciljev skozi vse nivoje organizacije. Upravljanje se začne z določanjem smeri v zanki, kjer nastopa proces merjenja, primerjave doseženih ciljev z načrtovanimi in potrebnimi korekcijami za končno doseganje cilja. Shematičen prikaz okvirja upravljanja prikazuje slika 4.
Slika 4: Okvir upravljanja informatike (angl. IT Governance Framework)
Vir: ITGI, Board Briefing in IT Governance, 2007, str.12.
V nadaljevanju so opredeljena načela, načini izvedbe, osnovni okvirji in standardi ter najvažnejši elementi upravljanja informatike na korporativnem nivoju. Izvedba korporativnega upravljanja informatike temelji na naslednjih načelih:
Korporativna pravila in načela
Kdo sprejema odločitve, na osnovi katerih pravil in metod?
Katere strukture, korporativna telesa in pravila je potrebno vzpostaviti, da bi lahko učinkovito upravljali z vsemi pomembnimi vprašanji poslovne informatike? Kateri zaposleni so člani teh teles, komu odgovarjajo in kaj so njihove dolžnosti? Kakšna znanja in veščine potrebujejo? Kakšna je organizacijska umestitev in vloga informatike v podjetju? Komu odgovarja vodja informatike (CIO)? Kdo sprejema odločitve v informatiki, ki se nanašajo na poslovanje? Kdo odloča o vlaganjih v informatiko in kdo je odgovoren za izvedbo teh odločitev? S kakšnimi metodami se ugotavlja ekonomska upravičenost in upravljanje s tveganji?
Izvršna in procesna načela
Kako se sprejemajo odločitve o vlaganjih v informatiko?
Določanje
smeri
Zastavljeni cilji· Strategija
informatike je
usklajena s
poslovno strategijo;
· Informatika podpira
poslovanje;
· IT viri so učinkovito
uporabljani;
· IT tveganja so
upravljana.
Primerjava
Aktivnosti
· Avtomatizacija;
· Znižanje stroškov;
· Upravljanje IT
tveganj;
Merjenje
30
Kako se sprejemajo odločitve o vlaganjih v informatiko (procedure, organizacijska pravila oz. priporočila)? Kakšno vlogo ima proces analize vlaganja v informatiko, izvedba študije izvedljivosti in ocena ekonomske upravičenosti in kakšne metode se uporabljajo? Ali obstajajo organizacijska pravila, ki predpisujejo način odobravanja predloga vlaganja in določanje prioritete? S pomočjo katerih analitičnih metod se ocenjuje ekonomska upravičenost vlaganja? Ali se pri tem uporablja sodobne napredne metode (kot primer: Val IT), podrobna analiza tveganj v tehnološkem, procesno organizacijskem in finančno ekonomskem segmentu?
Kontrolna načela
S kakšnimi kazalci merimo uspešnost procesa upravljanja informatike?
S katerimi formalnimi mehanizmi se sprejemajo te odločitve do najvišjega nivoja upravljanja v podjetju? Kdo oceni tveganja teh odločitev, kako merimo rezultate, kdo je odgovoren za spremljanje in nadzor? Ali uporabljamo korporativni model upravljanja s tveganji? Ali uporabljamo korporativni model za upravljanje z informacijskimi tveganji?
Najpogostejša telesa izvajanja koncepta korporativnega upravljanja informatike so:
Nadzorni odbor
Osnovni namen nadzornega odbora je kontrola in nadzor tekočega poslovanja in izvajanja strategije. Pomembno vlogo nadzorni odbor odigra pri strateških odločitvah podjetja, delitvi dobička in prodaji dela podjetja. Prav tako oceni uspešnost poslovanja in opravlja svetovalno vlogo pri bodočem razvoju. Poleg strateške in svetovalne vloge ima nadzorni odbor tudi pomembno nadzorno vlogo – proces upravljanja s tveganji. S stališča korporativnega upravljanja informatike, bi moral imeti nadzorni odbor ključno vlogo pri sprejemanju strateškega načrta informatike in pri tem prevzeti vodilno vlogo pri upravljanju tveganj uporabe informacijske tehnologije.
Revizijski odbor (angl. Audit Committee)
Revizijski odbor je eden izmed svetovalnih teles nadzornega odbora, ki skrbi, da se ustrezno izvaja upravljanje s tveganji poslovanja in za učinkovitost internih kontrol poslovanja. Revizijski odbor je pomemben mehanizem korporativnega upravljanja in svetovalnega telesa nadzornemu odboru zadolžen za nadzor in revizijo poslovanja. Osnovna naloga tega odbora je spremljava postopka finančnega poročanja, spremljava učinkovitosti internih kontrol podjetja, izvajanje interne revizije in spremljava sistema upravljanja tveganj v podjetju, nadzorovati izvajanje zakonsko predpisanih revizij v sklopu finančnih poročil, itd. S stališča korporativnega upravljanja informatike je revizijski odbor neposredno odgovoren za proces upravljanja s tveganji, oceno učinkovitosti internih kontrol oz. izvedbo revizije informacijskega sistema.
31
Odbor za upravljanje informatike (angl. IT Governance Committee)
Predstavlja svetovalno telo upravi podjetja in nadzornemu odboru v vseh vprašanjih glede uporabe informacijske tehnologije in informacijskih sistemov v poslovanju. Posebej pomembna je svetovalna vloga tega odbora pri sprejemanju strateškega načrta informatike. Na tem nivoju in v sodelovanju vseh izvršnih managerjev se je potrebno dogovoriti v kolikšni meri, na kakšen način in še posebej na katerih področjih je potrebno uskladiti poslovanje in informatiko.
Management in njegova nadzorna in svetovalna telesa (nadzorni odbor, odbor za revizijo, odbor za upravljanje informatike), bi za korporativno upravljanje informatike morali upoštevati naslednja priporočila in dobre prakse:
Najvišje vodstvo podjetja in nadzorna telesa potrebujejo strokovnost in znanje za aktivno vlogo upravljanja informatike;
Glede na cilje poslovanja je potrebno določiti optimalno vlogo informatike v poslovanju in sprejeti strateški načrt informatike;
Potrebno je vzpostaviti proces upravljanja informatike na korporativnem nivoju; Potrebno je imenovati formalna telesa upravljanja informatike na korporativnem
nivoju z jasnimi pooblastili in odgovornostmi glede sprejemanja ključnih informacijskih odločitev (prioriteta vlaganj, prioriteta projektov, nadzor nad izvajanjem projektov, ocena tveganj, itd.);
Potrebno je vzpostaviti stalni proces ocenjevanja tveganj, katerim je izpostavljeno poslovanje v povezavi z informacijsko tehnologijo;
Potrebno je izvajati periodične revizije informacijskega sistema (poleg zahtevanih zakonskih revizij, vzpostavitev revizije tudi kot svetovalne funkcije);
Potrebno je določiti komunikacijski mehanizem oz. način poročanja med vodjo informatike in generalnim direktorjem podjetja;
Potrebno je promovirati vlogo informatike in njeno vlogo v samem poslovanju.
3.2 Področja upravljanja informatike
Upravljanje informatike sestavlja splet medsebojno povezanih področij. Načeloma je vodenje informatike namenjeno doseganju opredeljenih ciljev in upravljanju tveganj. Doseganje ciljev ni mogoče brez strateške usklajenosti strategije informatike s strategijo celotne organizacije in managementa virov ter preglednosti in transparentnosti uspehov oziroma neuspehov (Groznik & Babnik, 2007, str. 1).
Glavna področja (Slika 5) pri upravljanju informatike lahko opredelimo na strateško usklajenost, zagotavljanje vrednosti, management virov, management tveganj in vrednotenje (Groznik & Babnik, 2007, str. 2).
32
Slika 5: Področja upravljanja informatike
Vir: ITGI, 2007: CobIT 4.1, str.6.
3.2.1 Strateška usklajenost (angl. Strategic Alignment)
Strateška usklajenost (angl. Strategic Alignment) določa strateško vlogo in povezanost informatike s poslovanjem in ustvarjanje dodane vrednosti, ki jo lahko zagotovi informatika (angl. IT Value Delivery).
Informatiko se v sedanji dobi globalizacije vedno pogosteje omenja kot bistveni element za splošen in finančni uspeh bank in bančnih skupin v svetu. Družbeno ekonomsko okolje, v katerem danes poslujejo podjetja in organizacije, je zelo dinamično in predvsem konkurenčno, posledica tega pa je soočanje poslovnega okolja in informatike s težavami pri skupnem sledenju hitri stopnji razvoja. Bančne skupine zato stremijo k inovacijam, ki bi jim zagotovile konkurenčno prednost, vendar pri tem intenzivno konkurenčno okolje zahteva tesno povezovanje poslovnega okolja in informatike (Coughlan et al., 2005). Veliko vlogo pri uresničevanju tovrstnega povezovanja ima skladnost poslovne strategije s strategijo informatike, ki je ključni dejavnik konkurenčnosti pri sodobnem načinu poslovanja (Groznik & Kovačič, 2001, str. 6). Kot narekuje ta trend, je vpeljava strateških informacijskih sistemov, njihovega načrtovanja in skladnost z izhodišči poslovnega strateškega načrtovanja, velikega pomena za razvoj konkurenčne prednosti (Groznik et al., 2008, str. 2).
Za doseganje dolgoročnih uspehov organizacije je ključnega pomena razumevanje poslovnih ciljev organizacije. Eden izmed večjih problemov, ki se pojavlja v organizacijah je, da nimajo ustrezno vzpostavljene strateške usklajenosti med informatiko in poslovanjem celotne organizacije (Groznik & Kovačič, 2001, str. 5).
Ključni dejavniki (Slika 6), ki vplivajo na skladnost poslovnega strateškega načrta s strateškim načrtom informatike in njegovim izvajanjem so poslovna strategija, organizacijska struktura
STRATEŠKA
USKLAJENOST
ZAGOTAVLJANJE
VREDNOSTI
MANAGEMENT
VIROV
MA
NA
GE
ME
NT
TV
EG
AN
J
RE
VIZ
IJA
IN
VR
ED
NO
TE
NJE KORPORATIVNO
UPRAVLJANJE
INFORMATIKE
33
in procesi, strategija informatike, obstoječe rešitve na področju informatike in kadri (Groznik & Kovačič, 2001, str. 6).
Slika 6: Model skladnosti strateškega načrta informatike s strateškim načrtom podjetja
Vir: Groznik & Kovačič, 2001, str.6.
Rezultati testiranja kažejo, da je strateško načrtovanje informatike v tesni zvezi z ustvarjeno dodano vrednostjo organizacije ter uspešnostjo oziroma produktivnostjo organizacije. Ob upoštevanju dejstva, da je uspešnost poslovanja odvisna od velikega števila medsebojno neodvisnih faktorjev, lahko ob določenih predpostavkah ugotovimo, da je strateško načrtovanje informatike tudi v neposredni povezavi s stopnjo dobička (Groznik & Kovačič, 2002, str. 11).
Ključna beseda, ki je botrovala spremenjeni filozofiji poslovanja je bila dodana vrednost, ki izpostavlja sodoben strateški informacijski sistem kot pomemben dejavnik konkurenčne prednosti (Porter, 1985). Strateški informacijski sistem predstavlja pomembno konkurenčno orodje organizacije, ki namesto poenostavljanja posameznih funkcij oziroma zadovoljevanja informacijskih potreb določenih segmentov uporabnikov, zagotavlja strateško prednost in dviguje konkurenčnost ter poslovno uspešnost organizacije (Groznik & Kovačič, 2002, str. 2).
Poslovna strategija opredeljuje strateške usmeritve organizacije, ki naj bi podjetju zagotovile dolgoročno uspešno poslovanje (Porter, 1980). Strategija informatike je v tesni povezavi s poslovno strategijo in ostalimi ključnimi dejavniki. Opozarja na možnosti in nevarnosti, ki jih informacijski sistem nudi oziroma predstavlja v poslovanju organizacije in je usmerjena v najučinkovitejšo uporabo informacijske tehnologije v korist uspešnega poslovanja celotne organizacije. Poleg poslovnih vidikov (poslovna strategija, organizacijska struktura in procesi) in informatike (strategija informatike, obstoječe rešitve na področju informatike) je pomemben tudi sociološki vidik. Kadri v organizaciji predstavljajo nabor kadrov, ki imajo potrebna strokovna znanja s katerimi organizacija lahko doseže načrtovane strateške cilje (Groznik & Kovačič, 2002, str. 5).
KADRI
STRATEGIJA
INFORMATIKE
OBSTOJEČE
REŠITVE
ORGANIZACIJSKA
STRUKTURA
POSLOVNA
STRATEGIJA
34
3.2.2 Zagotavljanje vrednosti (angl. Value delivery)
Opredeljuje kako organizirati in upravljati z informatiko, da postane sredstvo ustvarjanja nove vrednosti in ne samo strošek in zaledna poslovna funkcija. V tem področju je pomembno zagotoviti korporativne mehanizme oz. mehanizme korporativnega upravljanja, ki se nanašajo na sprejemanje odločitev o vlaganjih v informatiko, nadzora in kontrole izvajanja projektov. Pri tem se za vrednotenje poslovnih učinkov vlaganja v informatiko najpogosteje uporablja operativne (analiza stroškov in koristi, študija izvedljivosti, donosnost naložbe, itd.) in strateške metode finančne analize kot primer Val IT.
Pri upravljanju informatike je eno izmed pomembnejših področji zagotavljanje oz. doseganje vrednosti, ki izhajajo iz potrjenih investicij oz. projektov. To področje je ozko usmerjeno v optimizacijo in zagotavljanje vrednosti informatike. Osnovni princip je doseganje ciljev znotraj dogovorjenega časovnega področja, v dogovorjenih stroških in kakovosti. V prevodu za poslovanje to definicijo lahko tolmačimo kot zagotavljanje konkurenčne prednosti, zadovoljstva uporabnikov, odzivnost do uporabnika, produktivnost in zadovoljstvo zaposlenih, itd. Večina teh kazalcev je neotipljivih in jih težko merimo. Za zagotavljanje vrednosti je nujna doslednost pri celoviti analizi in predvidevanju stroškov ter pričakovanih koristi. Za zagotavljanje vrednosti in doseganja opredeljenih ciljev, kot tudi izvajanje posameznih aktivnosti in poslovnih procesov skladno s strategijo, je odgovoren vodja informatike (CIO).
Zagotavljanje vrednosti lahko opredelimo tudi kot izvajanje opredeljenih načrtov, nalog v okviru določenega časovnega cikla, kjer informatika zagotavlja v strategiji opredeljene koristi ob osredotočenosti na optimizaciji stroškov (Groznik & Babnik, 2007, str. 4).
Strateška usklajenost med informatiko in poslovanjem celotne organizacije je eden izmed poglavitnih kriterijev za doseganje opredeljenih ciljev. Vsaka investicija mora biti opredeljena s predvidenimi tveganji, ki jih je potrebno določiti in upoštevati pred realizacijo. Na uspešno zagotavljanje opredeljenih ciljev v informatiki lahko v veliki meri vplivajo ustrezno vodenje proračuna informatike z usmerjenostjo v zniževanje stroškov, ustrezno opredeljevanje in management projektov (Groznik & Vičič, 2006).
3.2.3 Management tveganj (angl. Risk management)
Upravljanje z informacijskimi tveganji v poslovanju (angl. IT Risk Management) mora biti sestavni del upravljanja korporativnih tveganj, s katerimi ocenjujemo izpostavljenost organizacije različnim tveganjem uporabe informatike v poslovanju (poslovno tveganje, tveganje povezano s poročanjem, tveganje brezprekinitvenega poslovanja, itd.). Znotraj tega področja je potrebno izdelati tudi načrt upravljanja s tveganji, stalno spremljavo in nivo tveganj, njihov vpliv na poslovanje in poslovne procese in določiti kontrole oz. odzive. Metode in okvirji, ki se najpogosteje uporabljajo na tem področju so CobiT, ISO 27001 priporočila, ITIL (ISO20000), Basel II, itd.
Management tveganj zajema dva pomembna elementa in sicer analizo ter obvladovanje tveganj (Groznik & Babnik, 2007, str. 5).
35
1. Analiza tveganj se ukvarja z zbiranjem informacij o izpostavljenosti organizacije tveganjem in odkrivanju novih tveganj, kar organizaciji omogoča sprejemanje ustreznih odločitev in primerno nadzorovanje tveganj.
2. Obvladovanje tveganj zajema procese s katerimi je omogočen prikaz, vrednotenje, analiziranje in identifikacija tveganj, vključno z ustreznimi informacijami o različnih tveganjih ter tako predstavlja podporo pri sprejemanju poslovnih odločitev.
Management tveganj primarno ne sme biti opredeljen kot povsem tehnična funkcija, ki se izvaja le ob pomoči informatikov, ampak je ta proces potrebno opredeliti kot eno izmed najpomembnejših skupnih funkcij celotne organizacije. Pri tveganjih povezanih z informatiko je posebna pozornost namenjena obvladovanju operativnih in sistemskih tveganj, kjer so pomembna predvsem tehnološka in varnostna področja. Splošno sprejeta definicija tveganj povezanih z informatiko ne obstaja, lahko pa tveganja opredelimo s pomočjo različnih skupin tveganj (ITGI, 2005, str. 5-18):
Investicijska oziroma stroškovna tveganja (angl. Investment or Expensive Risk). Tveganja, ki se navezujejo na investicije v informatiko, ki ne bi izboljšale obstoječega stanja oziroma izpolnile opredeljenih vrednosti oz. ciljev;
Tveganja varnosti oziroma dostopov (angl. Security or Access Risk). Tveganja, da bi zaupne poslovne informacije bile objavljene, dostopne osebam, ki nimajo ustreznih pravic;
Integritetna tveganja (angl. Integrity Risk). Tveganja, da podatki in informacije ne bi bili zanesljivi, celoviti zaradi nepopolnosti, neažurnosti, nezakonitosti, itd;
Tveganja ustreznosti (angl. Relevance Risk). Tveganja povezana z nedostopnostjo pravih, ažurnih informacij oziroma z neustreznim posredovanjem informacij določenim/pravim osebam oziroma poslovnim sistemom, procesom v določenem času ter s tem onemogočanje izvajanja določenih aktivnosti;
Tveganja razpoložljivosti (angl. Availability Risk). Tveganja za izgubo sistemov oziroma storitev, ki morajo biti razpoložljiva za izvajanje poslovnih procesov;
Tveganja infrastrukture (angl. Infrastructure Risk). Tveganja, da organizacija nima ustrezne infrastrukture, informacijskih sistemov, ki bi ustrezno podpirali poslovanje celotne organizacije na učinkovit, stroškovno ustrezen in ustrezno obvladljiv način;
Projektna tveganja (angl. Project Risk). Tveganja, ki se navezujejo na (ne)uspešnost projektov, ter s tem (ne)doseganje opredeljenih vrednosti, ciljev kot posledica pomanjkanja odgovornosti in neustreznega izvajanja opredeljenih obveznosti.
Zaradi celovitosti in hitro spreminjajočega se poslovnega okolja je za ocenjevanje novih tveganj nujno potrebno ustrezno izobraževanje, zavedanje o tveganjih ter posredovanje informacij managementu in drugim v organizaciji. Management tveganj je eden izmed ključnih dejavnikov, ki organizaciji omogoča doseganje uspehov in dobrih poslovnih rezultatov (Groznik & Babnik, 2007, str. 5).
3.2.4 Management virov (angl. Resource Management)
Učinkovit management virov organizaciji omogoča boljše izvajanje poslovnih procesov, zato je pri tem pomembna predvsem osredotočenost na optimalno investiranje in management virov (poslovni procesi, kadri, aplikacije, poslovni podatki, infrastruktura). Osrednje področje
36
managementa virov je optimizacija znanja in infrastrukture. Management virov zajema sklop različnih nalog, vlog, odgovornosti, ciljev, kontrol, ki organizaciji omogočajo celovito in učinkovito identifikacijo potrebnih informacij, virov, poslovnih podatkov ter tako prispevajo k boljšemu poslovanju (ITGI, 2005, str. 5-27).
Management virov organizaciji omogoča jasno preglednost in kontrolo nad svojimi viri, boljše načrtovanje, iskanje, dodeljevanje in prerazporejanje potrebnih virov ter njihovo optimizacijo. Z vidika poslovanja dandanes zaposleni postajajo vedno bolj pomemben dejavnik pri izpolnjevanju opredeljenih ciljev. Podjetje mora pri svojih vlaganjih v infrastrukturo in v svoje zmožnosti upoštevati:
Da nabava razume in upošteva dejanske potrebe informatike in sistemov; Za upravljanje projektov morajo biti v podjetju prisotna ustrezna znanja in
vzpostavljene metodologije; Da je prisotno nenehno izobraževanje in usposabljanje zaposlenih in razvijanje
ustreznih znanj;
Pri vsem tem je potrebno upoštevati, da so človeški viri nepogrešljiv dejavnik, ne samo za optimizacijo s stroškovnega vidika temveč tudi pri vpeljavi sprememb, zagotavljanju delovanja sistema in zagotavljanju razvoja podjetja.
3.2.5 Revizija in vrednotenje (angl. Audit and Performance Measurement)
Revizija in vrednotenje (angl. IT Audit and Perormance Measurement) predstavlja metrike s katerimi lahko kvalitetno in kvantitetno ocenimo uspešnost izvajanja raznih informacijskih procesov, pri čemer lahko zelo natančno merimo zmogljivost informatike kot poslovne funkcije.
Revizija informacijskega sistema predstavlja postopek analize in preverjanje njihove točnosti, učinkovitosti, zanesljivosti in uspešnosti. Končni rezultat tega postopka je revizijsko poročilo informacijskega sistema, ki ga po priporočilih CobiT-a, ITIL-a in ISO 27001 sestavljajo naslednja poglavja:
Analiza stanja (zrelosti) uporabe informacijskih sistemov v poslovanju glede na revidirana področja;
Ocena poslovnih tveganj, ki izhajajo iz stanja na dan revizije; Priporočila managementu za odpravo pomanjkljivosti.
Vrednotenje informatike je zelo celovito področje, ki je neposredno povezano z vrednostjo in pomenom informatike. Razprave o tem, kakšna je dejanska vrednost in pomen informatike v podjetju so vse pogostejše tako v akademskih, kot tudi v poslovnih krogih. Po eni strani smo bili vse do leta 2002 priča neprestani rasti naložb v informatiko, ki so v razvitih zahodnih državah dosegle 5-7% vrednosti prihodkov prodaje (Gartner Group, 2002), z namenom povečevanja poslovne uspešnosti in konkurenčne prednosti. Po drugi strani pa so se vzporedno pojavljale razne raziskave, na podlagi katerih je moč sklepati, da naložbe v informatiko nimajo želenega vpliva na uspešnost poslovanja (Hitt & Brynjolfsson, 1994), (Kraemer & Dedrick, 1994), (Tam, 1998), (Devaraj & Kohli, 2000), (Groznik & Kovačič, 2003). Ne glede na to, kaj je razlog za takšne ugotovitve, je dejstvo, da vodstva podjetij želijo videti
37
otipljive koristi, ki pa jih informatiki velikokrat ne znajo oziroma ne morejo pokazati. Informatika na ta način postane za podjetje zgolj strošek, posledice pa so vidne v zmanjševanju proračunskih sredstev (Groznik & Babnik, 2007, str. 6).
Vrednotenja se je potrebno lotiti z dveh vidikov. Prvič z vidika izbire ustreznih kriterijev merjenja učinkov informatike in tudi z vidika izbiranja pravih naložb. Ko govorimo o naložbah v informatiko, ni pomembno le, koliko vlagamo, temveč tudi kam in kakšni so vplivi teh naložb.
V praksi podjetja uporabljajo različne metode (npr. BSC, COBIT) ugotavljanja vpliva informatike na uspešnost poslovanja, ki se pogosto usmerjajo zgolj na merljive oziroma otipljive (angl. Tangible) učinke informatike. Le-ti pa zaradi specifične vloge informatike v podjetju večinoma niso dovolj. Iz tega razloga je potrebno v metode vključiti več kriterijev, ki poleg klasičnih finančnih in računovodskih parametrov vključujejo tudi druga področja vpliva, ki pa so pogosto težko merljiva oziroma jih lahko samo ocenimo. Govorimo o tako imenovanih neotipljivih (angl. Intangible) učinkih, kot je na primer zadovoljstvo strank, kakovost informacij, itd. (Groznik & Babnik, 2007, str. 6).
V pomoč vrednotenju informatike lahko uporabimo CobIT (angl. Control Objective for Information and related Technology) metodologijo, ki deli metrike in cilje za upravljanje zmogljivosti na tri nivoje (ITGI, 2005, str. 22-23):
Cilji in metrike, ki opredeljujejo pričakovanja poslovnega sveta od informatike; Procesni cilji in metrike, ki opredeljujejo doprinos procesov za podporo doseganju
ciljev; Metrike za merjenje procesov, ki so namenjene merjenju kako dobro se procesi
izvajajo ter s tem ugotavljanju verjetnosti ali bodo opredeljeni cilji doseženi.
Dobro upravljanje zmogljivosti, omogoča razumevanje poslovnim uporabnikom, kako informatika prispeva k doseganju poslovnih ciljev. Vrednotenje informatike naj bi prineslo odgovore na vprašanja kot so npr. (Groznik & Babnik, 2007, str. 7):
Kakšne koristi/prednosti nam prinaša dodatno vlaganje v informatiko? Ali so opredeljene poslovne zahteve z vidika informatike dosežene? Ali informatika vodi svojo strategijo skladno s poslovno strategijo?, itd.
Vrednotenje naj bi bila ena izmed ključnih nalog vodje informatike ob močni podpori vodij poslovnih oddelkov, saj je na tak način lažje predstavljiva dodana vrednost in koristi, ki jo k poslovanju prinese informatika.
4 OKVIRJI, STANDARDI IN METODOLOGIJE UPRAVLJANJA INFORMATIKE
Po raziskavah več kot 60% podjetij uporablja v svetovnem merilu razvite metodologije, (kot npr. ISO, BS standardi, ITIL, COBIT metodologija, idr.) s katerimi podjetja poskušajo vzpostaviti ustrezno ogrodje za izvajanje kakovostnega managementa tveganj ter čim uspešnejše in učinkovito vodenje informatike. Ob tem dejstvu je potrebno opozoriti, da
38
številna podjetja, ki uporabljajo lastno razvite metodologije (cca. 30%) le-te razvijejo na podlagi standardnih metodologij, ki jih nato ustrezno prilagodijo lastnim potrebam. Vse skupaj kaže, da svetovno razvita in uspešna podjetja za obvladovanje tveganj in vodenje informatike v veliki meri dajejo poudarek metodologijam ob pomoči katerih lahko zagotovijo kakovostno obvladovanje tveganj in vodenje informatike (Groznik & Babnik, 2007, str. 2).
Razvoj sistemov upravljanja informatike je v vzročno posledični zvezi njene vloge v poslovanju. V začetnem obdobju so se ti standardi nanašali na upravljanje informatike kot tehnične infrastrukture. Iz tega obdobja izhajajo tudi številni tehnični predpisi in priporočila (npr. OSI referenčni model), ki predpisuje kako upravljati tehnično infrastrukturo. Ti standardi so bili izrazito tehnično usmerjeni in zelo redko so zajemali tudi poslovni vidik uporabe. Zelo pogosto je bila njihova uporaba ekonomsko vprašljiva, ker so bili slabo dostopni, dragi in tudi njihova dosledna uporaba ni dala jamstva za uspeh. To je bil tudi eden izmed glavnih razlogov, da se ti standardi niso razvili in razširili. Zelo pogosto so predpisovali korake, ki jih je potrebno izvesti, da bi lahko uporabili določeno tehnologijo, brez usmeritve o koristih, ki bi jih imelo poslovanje in sama implementacija. Strateška sprememba razmišljanja o uporabi informatike v poslovanju in v povezavi z uporabo standardov tega področja, je pripeljalo do razvoja večjega števila kvalitetnih standardov in metodologij.
Tabela 4: Najpogosteje uporabljeni standardi, ogrodja in metodologije upravljanja informatike
Način uporabe informatike Zrelost informatike in področje njene uporabe
Okvirji in standardi
Informatika kot tehnična podpora
Zaledna tehnična funkcija; Informatika se obravnava kot
strošek in tehnična podpora poslovanju.
OSI referenčni model in ostali tehnični standardi;
ITIL (delno); CMMI.
Informatika kot procesni in storitveni partner
Procesni (storitveni) partner; Upravljanje informacijskih storitev; Zanesljivost, dostopnost
infrastrukture; Kakovost informacijske storitve.
ITIL (ISO 20000); ITUP; CMMI; ISO 15408 in ISO 13335; COBIT; ISO 17799, ISO 27001 – 27005; PRINCE2; PMBOOK.
Informatika kot strateški partner in strateška poslovna funkcija
Strateška poslovna funkcija; Vzvod inovativnosti poslovanja; Sredstvo konkurenčne prednosti; Upravljanje s tveganji.
COBIT; Val IT; ITIL; COSO; Sarbanes-Oxley zakon; ISO 27001 – ISO 27005; IT BSC.
Vir: M. Spremič, Korporativno upravljanje informatike, 2007, str. 194.
Z novim načinom standardizacije, tehnologija doseže zrelost uporabe in postane povezovalni element v strukturi organizacije, kar omogoča nadaljnji razvoj informatike v smeri procesnega partnerja in strateškega partnerja poslovanja k razvoju popolnoma novih, širokih in v svetovnem merilu zelo aktualnih standardov in priporočil. Dandanes so v svetovnem
39
merilu in na različnih nivojih uporabe v podjetjih najpogosteje uporabljani informacijski standardi, okvirji in priporočila (ITIL, CobIT, ISO 27001, Val IT, Basel II, Sarbanes-Oxley, CMMI, itd.), usmerjeni v koristi, ki jih informatika lahko prinese poslovanju in k doseganju merljivih ciljev, usklajevanja informatike in poslovanja. V tabeli 4 so prikazani najpomembnejši in najpogosteje uporabljani standardi, ki so namenjeni upravljanju informatike na različnih nivojih.
4.1 CobIT
CobIT (ITGI, 2007a) (angl. Control Objectives for Information and Related Technology) predstavlja krovni okvir za korporativno upravljanje informatike. Orientiran je procesno in vsebuje štiri (4) področja korporativnega upravljanja informatike s priporočili za usklajevanje ciljev poslovanja in cilji informatike. Po CobIT-u je odgovornost za izvajanje informacijskih procesov in aktivnosti ne samo na strani CIO-ta temveč tudi na strani izvršnega managementa, katerega osnovna naloga je upravljati s celotno informacijsko infrastrukturo, omogočiti da informatika podpre in dopolnjuje strateške poslovne cilje, pregled nad učinkovito rabo virov in upravljanja s tveganji, ki izhajajo iz uporabe informatike v poslovanju.
Slika 7: Osnovni CobIT principi
Vir: ITGI, CobIT 4.1, 2007, str.10.
CobIT je nastal leta 1992 pod okriljem IT Governance Institute (ITGI) in Information System and Control Association (ISACA), ki je krovna svetovna organizacija za kontrolo in revizijo informacijskih sistemov. CobIT je bil na začetku orientiran na poslovne cilje in aktivnosti, ki jih je potrebno izvesti, da bi jih lahko informacijski del podprl, saj je bil opredeljen kot poslovni in ne tehnični standard. Namenjen je širokemu krogu uporabnikov (informatiki, CIO, management, notranjim in zunanjim revizorjem, svetovalcem, itd...) in njegova uporaba ni vezana na panogo ali dejavnost. CobIT sledi uporabi jasnega poslovnega besedišča in uporabi orodij v informatiki kot tudi njenemu upravljanju. S tem je managementu postalo
POSLOVNE
ZAHTEVE
IT VIRI
IT PROCESI
POSLOVNE
INFORMACIJECOBIT
Določajo
investicije v
Ki jih
uporabijo
Da
zagotovijo
Kar
povzroča
40
lažje upravljati z informatiko na način kot poslovne funkcije. CobIT managementu prikaže jasno sliko delovanja informatike na način, da:
Jasno opredeli in natančno opiše ključne informacijske procese (34 procesov v 4 področjih);
Jasno opredeli področje pristojnosti in odgovornosti (RACI matrika za vsak proces opredeljuje, kdo je odgovoren, kdo izvaja kontrolo, koga obveščamo pred odločitvijo in po odločitvi);
Jasno opredeljuje cilje nadzora in kontrole (CobIT kontrolni cilji s katerimi preverjamo ali so poslovni cilji doseženi, vsebuje tudi smernice za izvedbo kontrole, testiranje in podobno);
Opredeljuje cilje in metrike uspešnosti informacijskih procesov (model zrelosti) in posameznih aktivnosti:
- ključni kazalniki uspeha (angl. Key Preformance Indicators, KPI); - ključni kazalniki doseganja cilja (angl. Key Goal Indicators, KGI); - ključni kazalniki tveganj (angl. Key Risk Indicators, KRI); - dejavniki doseganja zadanih aktivnosti (angl. IT Activity Goals); - model zrelosti za vsak poslovni proces (ocene od 0 do 5); - celoten sistem, ki omogoča merjenje zmogljivosti informacijskih procesov in
oceno njihove učinkovitosti v odnosu na poslovne cilje.
Z večanjem pomembnosti informacijske tehnologije v poslovanju so se prilagajali tudi cilji CobIT-a, kot krovnega okvirja in »de-facto« standarda.
CobIT različica 1 iz leta 1996 je bila usmerjena v podporo reviziji finančnih poročil, oz. je omogočala uporabo metod in aktivnosti s katerimi so se revidirali ciljni poslovni procesi, deli informacijskega sistema in določene tehnologije, katerih glavni cilj so bila točna in pravočasna finančna poročila. S sistemom sledenja in nadzorom procesa, ki vpliva na točna in pravočasna finančna poročila, se je pozornost strokovne in znanstvene javnosti pričela ozirati k reviziji informacijskih sistemov kot ločeni in samostojni aktivnosti. Postalo je jasno, da predmet revizije ne more biti samo statično in dinamično finančno poročilo, temveč tudi poslovni procesi, ki podpirajo njegovo izdelavo, obdelavo, posodabljanje in predstavitev. V veliko pomoč je bilo dejstvo, da so informacijski sistemi in tehnologija pričeli pridobivati na svoji pomembnosti v poslovanju sodobnih podjetij, kar je dodatno okrepilo zavest o nujnosti njihove kontrole.
CobIT različica 2 iz leta 1998 postane svetovno znan okvir kontrole informacijskih sistemov in podpornih procesov. Njegovi cilji so se spreminjali, od nepogrešljivega okvirja in smernic za izvedbo kontrole in revizije informacijskih sistemov v začetnih različicah, do okvirja korporativnega upravljanja informatike v zadnjih različicah (različica 3 in 4). S tem je obseg in predmet revizije informacijskih sistemov postal širši od podpore reviziji finančnega poročanja (kjer je obseg revizije samo skupek aplikacij, podatkov in kontrol, ki vplivajo na generiranje, točnost in distribucijo finančnih poročil), do današnje svetovalno upravljalske vloge, kjer je obseg revizije celoten informacijski sistem, tehnologija in ključni poslovni procesi podjetja. S tem revizija informacijskih sistemov prehaja v ospredje in postaja samostojna svetovalna funkcija managementu pri korporativnem upravljanju informatike. Slika 8 prikazuje razvoj CobIT-a skozi čas.
41
Slika 8: Razvoj CobIT-a skozi čas
Vir: M. Spremič, Korporativno upravljanje informatike, 2007, str. 197.
Trenutna različica 4.1 ponuja okvir in orodje za učinkovito korporativno upravljanje, ki je namenjen izvršnemu managementu, IT managerjem, revizorjem, lastnikom in lastnikom procesov. Revizorjem CobIT pomeni krovno orodje za izvedbo kontrole in revizije informacijskih sistemov, zato ga veliko podjetij uporablja tudi kot metodologijo za upravljanje. Zadnja različica 4.1 vključuje 6 procesnih in 18 aplikativnih informacijskih kontrol, ki v večji meri služijo reviziji oz. preverjanju učinkovitosti raznih kontrol. Procesne in aplikativne CobIT kontrole prikazuje tabela 5 (ITGI, 2007a, str. 14).
Tabela 5: Procesne in aplikativne CobIT kontrole
Procesne kontrole CobITa (angl. Process Control – PC)
Aplikativne kontrole CobIT (angl. Applications Control – AC)
PC1 Določanje jasnih ciljev procesa AC1 Izvor podatkov, priprava in avtorizacija
PC2 Določanje lastnika procesa AC2 Izvor podatkov, zbiranje in vnos
PC3 Določanje ponavljajočih procesov AC3 Točnost, popolnost in avtorizacija
PC4 Vloge in odgovornosti AC4 Avtentikacija, avtorizacija in integriteta
PC5 Politike, plani in procedure AC5 Prikaz izh. podatkov in upravljanje z napakami
PC6 Nenehno izboljševanje procesov AC6 Avtentikacija in integriteta transakcij
Vir: ITGI, CobIT 4.1, 2007a, str.10.
Za razvoj CobIT-a skrbi ISACA (angl. Information System Audit and Control Associoation), ISACF (angl. Information System Audit and Control Fundation) in ITG (angl. Information Technology Governance Institute), ki sta v svetovnem merilu vodilni organizaciji na področju kontrole in revizije informacijskih sistemov. Temeljni cilj CobIT-a ostaja korporativno upravljanje informatike in je prvenstveno namenjen IT managerjem. Z dodatki, kot npr. Smernice za izvršni management, pa predstavlja tudi učinkovito orodje za upravljanje poslovanja. Danes je CobIT splošno sprejet in priznan kot krovni okvir upravljanja, kontrole in revizije informacijskih sistemov, kateremu osnovni cilj je razviti jasne politike in dobre prakse
Korporativno upravljanje (angl. Governance)
Vodenje (angl. Management)
Kontrola
Revizija
CobIT 1 CobIT 2 CobIT 3 CobIT 4
1996 1998 2000 2005
Leto
42
za učinkovito upravljanje in kontrolo uporabe informacijske tehnologije za privatne in državne organizacije. CobIT vsebuje 34 kontrolnih ciljev razdeljenih v štiri področja:
1. Planiranje in organizacija (angl. Planning and Organization, PO);
2. Nabava in izvedba (angl. Aquisition and Implementation, AI);
3. Dobava in podpora (angl. Delivery and Support, DS);
4. Spremljanje in nadzor (angl. Monitoring and Evaluation, ME).
Kot že omenjeno, različica 4.1 vsebuje 4 področja, 34 ključnih informacijskih procesov in več kot 300 podrobnih informacijskih kontrol, 18 aplikacijskih in 6 procesnih kontrol.
Tabela 6: Ključni CobIT procesi in procesne kontrole
PLANIRANJE IN ORGANIZACIJA – PO SPREMLJANJE OZ. NADZOR – ME
PO1 določanje strateškega plana ME1 spremljava procesov
PO2 določanje informacijske arhitekture ME2 ocenjevanje notranjih kontrol
PO3 določanje tehnološke smeri ME3 zagotavljanje usklajenosti z zunanjimi zahtevami
PO4 določanje organizacije in razmerij ME4 korporativno upravljanje informatike
PO5 ravnanje z investicijami DOBAVA IN PODPORA – DS
PO6 komuniciranje z managementom DS1 določitev potrebne ravni storitev
PO7 ravnanje s človeškimi viri DS2 upravljanje zunanjih storitev
PO8 zagotavljanje skladnosti z zunanjimi zahtevami DS3 upravljanje zmogljivosti in kapacitet
PO9 ocenitev tveganj DS4 zagotovitev storitve brez prekinitev
PO10 upravljanje s projekti DS5 zagotovitev varnosti sistemov
NABAVA IN IZVEDBA – AI DS6 določitev in spremljava stroškov
AI1 identifikacija avtomatiziranih rešitev DS7 izobraževanje in uvajanje uporabnikov
AI2 pridobitev in vzdrževanje aplikativnih rešitev DS8 izvajanje pomoči uporabnikom
AI3 pridobitev in vzdrževanje teh. infrastrukture DS9 upravljanje s konfiguracijami
AI4 razvijanje in vzdrževanje postopkov DS10 upravljanje s problemi in incidenti
AI5 nabava IT virov DS11 upravljanje podatkov
AI6 upravljanje s spremembami DS12 upravljanje infrastrukture
AI7 nameščanje in overjanje sistema DS13 zagotavljanje delovanja sistemov
Vir: ITGI, CobIT 4.1, 2007a, str.10.
Za vsakega od 34 kontrolnih ciljev CobIT opisuje:
Pregled procesa (opis poslovnega procesa, njegovih ciljev, pričakovanih učinkov, nosilcev aktivnosti, dobre prakse, metrike, opis ciljev uporabe informacijske tehnologije in indikatorja korporativnega upravljanja informatike in učinkovita uporaba informacijskih virov;
Kontrolne cilje poslovnega procesa in teste učinkovitosti kontrole poslovnega procesa;
Navodila oz. smernice managementu kako učinkovito upravljati s tem poslovnim procesom.
43
Slika 9: Osredotočenje CobIT okvirja
Vir: ITGI, CobIT 4.1, 2007a, str.26.
Te smernice so podane s pomočjo:
RACI diagrama: s katerim se za vsak proces opredeli kdo je odgovorna oseba, kdo je zadolžen za nadzor in kontrolo, koga je potrebno obveščati o poteku, itd. Z matriko ima management tako jasne smernice za upravljanje s tveganji (angl. RACI: Responsible, Accountable, Consulted, Informed);
Vhodov in izhodov: za vsak proces se določijo vhodi oz. vrednosti ali predpogoji, ki jih je potrebno ustvariti za učinkovito delo in izhodi oz. pričakovane izhodne vrednosti;
CobIT
POSLOVNI CILJI
CILJI UPRAVLJANJA
INFORMACIJE
NAČRTOVANJE IN
ORGANIZACIJA
PRIDOBITEV IN
VPELJAVA
IZVEDBA IN
PODPORA
NADZOR IN
VREDNOTENJE
· Uspešnost
· Učinkovitost
· Zaupnost
· Integriteta
· Razpoložljivost
· Skladnost
· Zanesljivost
IT VIRI
· Aplikacije
· Informacije
· Infrastruktura
· Ljudje
PO1 določanje strateškega planaPO2 določanje informacijske arhitekturePO3 določanje tehnološke smeriPO4 določanje organizacije in razmerijPO5 ravnanje z investicijamiPO6 komuniciranje z managementomPO7 ravnanje s človeškimi viriPO8 zagotavljanje skladnosti z zunanjimi zahtevamiPO9 ocenitev tveganjPO10 upravljanje s projekti
ME1 spremljava procesovME2 ocenjevanje notranjih kontrolME3 zagotavljanje usklajenosti z zunanjimi zahtevamiME4 korporativno upravljanje informatike
DS1 določitev potrebne ravni storitevDS2 upravljanje zunanjih storitevDS3 upravljanje zmogljivosti in kapacitetDS4 zagotovitev storitve brez prekinitevDS5 zagotovitev varnosti sistemovDS6 določitev in spremljava stroškovDS7 izobraževanje in uvajanje uporabnikovDS8 izvajanje pomoči uporabnikomDS9 upravljanje s konfiguracijamiDS10 upravljanje s problemi in incidenti DS11 upravljanje podatkovDS12 upravljanje infrastruktureDS13 zagotavljanje delovanja sistemov
AI1 identifikacija avtomatiziranih rešitevAI2 pridobitev in vzdrževanje aplikativnih rešitevAI3 pridobitev in vzdrževanje tehnične infrastruktureAI4 razvijanje in vzdrževanje postopkovAI5 nabava IT virovAI6 upravljanje s spremembamiAI7 nameščanje in overjanje sistema
44
Ciljev in metrik: za vsak proces se opredeli jasne in merljive cilje s kazalci, s katerimi se spremlja doseženost ciljev. To predvsem velja za ključne dejavnike uspeha – KDU (angl. Critical Success Factors, CSF), ključne kazalnike doseganja cilja - KKC (angl. Key Goal Indicators, KGI) in smernice managementa za spremljavo ključnih kazalnikov poslovanja - KKP (angl. Key Performance Indicator, KPI);
Modelom zrelosti: za vsak proces se opredeli model zrelosti upravljanja (angl. Maturity Models). Ocene so v razponu od 0 do 5 s podrobnim opisom stanja, ki omogoča jasno opredelitev trenutne zrelosti procesa.
Glede na to, da govorimo o informacijskih procesih, ki v popolnosti ali v veliki meri podpirajo izvajanje ključnih poslovnih procesov, lahko CobIT uporabimo tudi kot metodo za preverjanje celotnega poslovanja, čeprav je njegovo poslanstvo ocena uspešnosti delovanja informacijskega dela poslovanja. Sem vsekakor spadajo procesi in storitve, ki jih informatika ponuja poslovanju. Slika 9 predstavlja osredotočenje CobIT okvirja.
4.2 ITIL
ITIL je nastal pred skoraj dvajsetimi leti (konec osemdesetih let), vendar je vzbudil večje zanimanje šele v zadnjem času, ko se je pokazal kot koristen, praktičen in v svetovnem pogledu zelo nepogrešljiv skupek priporočil in najboljših praks pri ravnanju z informacijskimi storitvami (angl. IT Service Management, ITSM). Autor ITIL metodologije je britanska Central Computer and Telecomunications Agency, danes znana pod imenom Office of Government Commerce (OGC UK), ki je konec 80-ih let prejšnjega stoletja naredila prvi popis navodil za uporabo informacijskih storitev, ki so bila obvezujoča za vsa podjetja državne uprave UK. Od takrat se ITIL stalno razvija in dopolnjuje do danes, ko je ITIL splošno sprejet standard upravljanja z informacijskimi storitvami razvit do te mere, da dobavitelji ponujajo svojo opremo in storitve, ki zadoščajo ITIL metodologiji. IT Service Management Forum (ITSMF) je neprofitna organizacija, ki promovira in skrbi za razvoj ITILA.
ITIL omogoča takoimenovani od zgoraj navzdol (angl. Top-Down), oz. poslovno orientiran pristop managementu informatike, ki poseben poudarek nameni strateški poslovni vrednosti informatike in potrebi, da se zagotovi ustrezen nivo kvalitete storitev. Poleg tega ITIL ponuja tudi smernice in priporočila za delo, procese in uporabe tehnologije. ITIL sestavljajo navodila, ki temeljijo na najboljših praksah (angl. Best Practise) upravljanja informacijskih storitev v javnem in privatnem sektorju po celem svetu. Formalno ga sestavlja več knjig, ki predpisujejo navodila za zagotavljanje in vzpostavitev kvalitetnih informacijskih storitev in procedur, opremo in aktivnosti, ki omogočajo kvalitetno podporo informatike. Poleg tega ponuja tudi zelo podrobna navodila in smernice kako oceniti nivo kakovosti storitve, kako nadzirati dobavo storitve in kako upravljati s celotnim naborom storitev informatike. Za vsak proces lahko ugotovimo usklajenost z ITIL priporočili, pri čemer ocene od 0 do 5 odražajo zrelost procesa, kar na koncu odraža oceno informacijskih storitev, podpore in upravljanja z informatiko.
ITIL se uporablja predvsem v Evropi, najpogosteje v javnem sektorju. Edini trenutno veljavni standard za upravljanje z informacijskimi storitvami je ISO 20000 (oz. njegov ekvivalent BS 15000), ki je v popolnosti prevzel ITIL terminologijo. Zaradi tega ITIL lahko opredelimo tudi kot »de facto« standard.
45
Prva različica ITIL-a je nastala 1986 leta in je vsebovala skupno 40 knjig, ki so opisovale razne prakse in priporočila uporabe informatike in se je uporabljala vse do leta 1999. Drugo različico ITIL-a je sestavljalo osem knjig, od katerih sta bili dve najpogosteje uporabljeni: Podpora storitvam (angl. Service Support) in Dobava storitev (angl. Service Delivery).
Trenutno veljavna, tretja različica ITIL-a, ki je izšla sredi leta 2007, vsebuje pet knjig, oz. pet ključnih procesov: Stretegija storitev (angl. Service Strategy), Oblikovanje storitev (angl. Service Design), Dobava storitev (angl. Service Transition), Uporaba storitev (angl. Service Operation), in Stalno izboljševanje storitev (angl. Continual Service Improvement).
ITIL v3 je procesno orientiran okvir, ki je dodatno usklajen z ostalimi okvirji (npr. CobiT), priporočili (ISO/IEC 20000) in regulatornimi zahtevami (Sarbanes-Oxley, Basell II).
4.3 ISO Standardi
ISO 17799 in ISO 27000-27005
Edini formalni standard, ki se uporablja za korporativno upravljanje informatike in revizijo informacijskih sistemov je ISO 17799:2005 in družina ISO 27000. Družina ISO 27000 je družina novih standardov, ki postopno nadomešča ostale standarde, npr. leta 2005 je bil ISO 17799:2005 zamenjan z novim standardom ISO 27001. Še vedno je najrazpoznavnejši standard ISO/IEC 17799, ki je bil sprejet leta 2000 na osnovi BS 7799-1:2000 standarda (British Standard 7799).
ISO 17799 vsebuje napotke, kontrole in priporočila s katerimi organizacija vzpostavi varnost na področju informacij. Drugi del standarda BS 7799 vsebuje napotke, ki jih mora organizacija osvojiti, da bi vzpostavila sistem upravljanja z informacijsko varnostjo (angl. Information Security Management System – ISMS).
Leta 2005 je bil sprejet novi standard ISO/IEC 17799:2005, ki predlaga več kot 100 kontrol, ki jih je potrebno vzpostaviti, da bi bil sistem upravljanja z informacijsko varnostjo učinkovit.
Standard je fizično razdeljen na deset razdelkov, ki skupaj vsebujejo 36 ciljev in 127 kontrol in se nanašajo na začetno načrtovanje, vpeljavo in vzdrževanje informacijske varnosti. Pri vpeljavi je potrebno upoštevati, da ne zavira poslovanja (torej, da ni v nasprotju s poslovnimi cilji), kulturo organizacije, podporo in sodelovanje vodstva, ostalih zaposlenih ter da je sistem prilagodljiv v takšni meri, da glede na povratne informacije dopušča spremembe. Informacijska varnost mora glede na standard pokrivati najmanj naslednja poglavja (ISO/IEC 17799:2005, 2006):
Varnostno politiko: vsebovati mora navodila, ki so potrjena s strani vodstva in znana zaposlenim;
Organizacijsko varnost: struktura organizacije mora podpirati uvedbo standarda, kar pomeni, da je potrebno spodbujati komunikacijo na to temo med managementom v formalni obliki, posebno pozornost je potrebno posvetiti koordinaciji, dolžnosti in pravice morajo biti zadosti natančno določene, vnaprej morajo biti predvidene oblike sodelovanja z zunanjimi partnerji, storitve zunanjih izvajalcev - njihovo izvajanje mora biti vnaprej urejeno s sprejetjem potrebnih ukrepov in tveganja, ki jih predstavljajo
46
zunanji izvajalci določenih storitev, morajo biti pod nadzorom – urejeni odnosi z zunanjimi izvajalci;
Razvrstitev sredstev in nadzor nad njimi: tu je pomembna določitev odgovornosti za posamezno sredstvo;
Varnost, povezana z zaposlenimi: razporeditev odgovornosti med zaposlene, zaupnost dogovorov in pogodb, nadzor nad zaposlenimi, izobraževanja, ki bi povečevala nivo varnosti in zaupnosti ter poročanja o nepravilnostih s strani zaposlenih;
Fizična varnost: vsa sredstva bi morala biti fizično zavarovana pred uničenjem ali poškodovanjem, zagotovljeno mora biti neprekinjeno napajanje z električno energijo, posebno skrb je potrebno posvetiti sredstvom, ki se nahajajo izven prostorov podjetja;
Upravljanje komunikacije in poslovanja: poslovanje mora temeljiti na dokumentiranih postopkih, vse spremembe morajo biti zabeležene, ravnanje v izrednih situacijah mora biti predvideno in formalno zapisano, odgovornosti in pravice morajo biti ločene, kriteriji za odločanje glede uvajanja novih sistemov morajo biti definirani, poslovanje mora biti formalno opredeljeno s predpisanimi postopki, ki zagotavljajo zadosten nivo varnosti;
Kontrole dostopa: dostop do informacij mora temeljiti na premišljeni osnovi, ki je v skladu s potrebami posameznika glede na njegove zadolžitve, podobno velja za dostop do infrastrukture, politika dostopa mora biti formalno zapisana, predpogoj je, da so dolžnosti posameznika natančno določene;
Razvoj sistemov in njihovo vzdrževanje: varnostne zahteve morajo biti upoštevane že ob samem razvoju;
Neprekinjeno poslovanje: tudi v izrednih razmerah, kot so naravne nesreče, morajo obstajati alternativni postopki, ki zagotavljajo nadaljevanje s poslovanjem vsaj v bistvenih okvirih, to ne sme biti omejeno le na IT področje, pri tem je pomembno testiranje, kar pomeni, da se na alternativne postopke res lahko zanesemo;
Skladnost: upoštevana mora biti veljavna zakonodaja, poleg tega morata biti usklajenost varnostne politike podjetja in upoštevani standard ISO 17799 periodično preverjena.
ISO 17799 predstavlja priporočila oz. kontrole, ki jih je potrebno vzpostaviti, da bi se varnostno tveganje informacijskega sistema postavilo na obvladljiv nivo. Standard ne vsebuje priporočil in tehnik za implementacijo (kot npr. CobIT in ITIL), temveč samo zahteve, ki jih je potrebno vzpostaviti. Seveda to ne pomeni, da mora podjetje implementirati vse kontrole. Za pridobitev certifikata skladnosti pa morajo ob presoji dokazati, da so upravljanje varnosti informacijskega sistema uskladili s priporočili ISO/IEC 17799 standarda.
Rezultat vpeljave ISO 17799 standarda je v veliki meri odvisen od potreb, ki so pripeljale do tega projekta. Običajno se izkaže, da vpeljavo tovrstnih standardov prisili management na resen pristop k informacijski varnosti in implementaciji procedur in pravil kot so:
Aktivnosti ocene tveganj in načrt za njihovo odpravljanje; Izdelava načrta brezprekinitvenega poslovanja (angl. Business Continuity Plan,
BCP) s katerim podrobno predpišemo aktivnosti, obveznosti in odgovornosti zaposlenih in managementa, da informacijski sistem omogoči neovirano in neprekinjeno poslovanje v okviru določene razpoložljivosti s strani managementa;
Izdelava in implementacija pravilnika o varnosti informacijskega sistema;
47
Določanje dinamike poročanja o varnostnih incidentih in odziv na njih; Načrt obnove po nesreči (ang. Disaster Recovery Plan, DRP).
Delitev ISO 17799 standarda
Konec leta 2005 je prišlo do sprememb v označevanju ISO standardov, ki pokrivajo varnost informacijskih sistemov in informacij. V tem letu je uveden BS/ISO/IEC 27001:2005 standard, ki je zamenjal ISO 17799:2005. Razen spremembe imena je prišlo še do zamenjave tehničnih podrobnosti, ki omogočajo nadaljnjo delitev in nove ISO standarde iz tega področja:
ISO 27001: standard upravljanja z informacijsko varnostjo. Izhaja iz ISO 17799:2005 standarda (razvoj sistema upravljanja informacijske varnosti – ISMS) in BS 7799 standarda. Medtem ko je ISO 17799 skupek priporočil in smernic, ki temeljijo na najboljši praksi, ISO 27001:2005 vsebuje popis zahtev, ki so obvezne za certifikacijo. Standard ISO 27001:2005 je stopil v veljavo novembra 2005 leta in je odlično usklajen z obstoječimi standardi ISO 9001 in ISO 14001. ISO 27001 predstavlja zamenjavo za ISO 17799 standard oz. ISO 17799-1 (BS 7799-1).
ISO 27003: je novi standard, ki bo pokril področje obvladovanja tveganj uporabe informacijskega sistema. Vseboval naj bi podrobne smernice za upravljanje tveganj in njihov vpliv na poslovanje, poslovne procese in ostale poslovne rizike. Trenutno veljaven standard BS 7799-3:2006, ki ponuja smernice za podporo zahtevam IS/ISO/IEC 27001:2005 standarda, ki zajema vse poglede upravljanja s tveganji (ocena in obravnava tveganj, upravljanje in sprejemanje odločitev, preverjanje in kontrola ocene tveganj, nadzor in kontrola tveganj) in skladnost z ostalimi standardi, ki temeljijo na oceni tveganj.
ISO 27004: Information Security Management Metrics and Measurements, metrike za merjenje in oceno uspešnosti upravljanja z informacijsko varnostjo.
ISO 27005: smernice za izvedbo.
ISO 27006: predvidoma bo predstavljal smernice za ponovno vzpostavitev informacijskega sistema po nesreči.
ISO/IEC 1335
Poleg ISO 27001 in ISO 17799 standarda obstajajo tudi tehnični ISO standardi kot npr. ISO/IEC 1335, ki opredeljuje smernice za upravljanje varnosti informacijske tehnologije. Ta standard je dovolj celovit in širok za uporabo oz. nima omejitve uporabe v določenih organizacijah ali panogah. ISO 1335 ponuja celoten sklop smernic upravljanja z varnostjo informacij, ki ga sestavlja pet delov:
1. Koncepti in modeli varnosti informacijske tehnologije, ki vsebuje naslednje podprocese: upravljanje konfiguracije, upravljanje tveganj, upravljanje sprememb, analiza tveganj, odgovornosti, zavest o varnosti, nadzor, brezprekinitveno poslovanje in obnova po nesreči.
48
2. Upravljanje in načrtovanje varnosti informacijske tehnologije, ki se nanaša na potrebo sprejetja in izvedbe programa in varnostnih politik informacijske tehnologije in sistemov.
3. Tehnike upravljanja varnosti informacijske tehnologije, ki zajema analizo varnostnih zahtev, izbor primerne strategije korporativnega upravljanja tveganj, implementacija načrta varnosti informacijske tehnologije, nadzor.
4. Izbor mehanizma kontrole in zaščite, ki vsebuje podroben popis mehanizmov in kontrol, s katerimi glede na izbrano strategijo upravlja s tveganji.
5. Varnost komunikacijske infrastrukture.
ISO/IEC 15408:1999
Ta standard predstavlja popis tehnik preverjanja (ocene) uspešnosti programa varnosti informacijske tehnologije. Govorimo o sklopu skupnih kriterijev, ki veljajo v državah članic, ki so sodelovale pri izdelavi dokumenta (Kanada, Francija, Nemčija, Nizozemska, Velika Britanija in ZDA). Ta standard je sestavljen iz treh delov od katerih prvi del vsebuje splošna načela in koncepte, ki jih je potrebno upoštevati pri oceni varnosti informacijske tehnologije. V drugem delu se opredelijo razredi oz. cilji ocene varnosti (npr. revizija varnosti, šifriranje, avtorizacija in avtentikacija, itd.), medtem ko se v tretjem delu ti razredi (cilji) podrobno delijo na posamezne kriterije.
4.4 Val IT
Val IT iniciativa predstavlja niz procesov in aktivnosti, katerih skupni cilj je pomoč managementu pri sprejemanju odločitev o ekonomski upravičenosti, stroškovni učinkovitosti, in s stališča poslovnih tveganj, sprejemljivih vlaganj v informatiko. Ta vlaganja morajo temeljiti na potrebah poslovanja in organizaciji morajo prinesti določene koristi, skozi podporo strateških ciljev poslovanja in ključnih poslovnih procesov. Čeprav lahko Val IT iniciativo uporabimo pri vseh vrstah vlaganj, je njena primarna naloga pomoč najvišjemu managementu, pri sprejemanju odločitev o vlaganju v informatiko skladno s poslovnimi prioritetami. Takšna metoda je bila nujna, saj dosedanje metode spremljave vlaganj v informatiko niso bile zadostne, da bi ocenili strateški potencial takšnih vlaganj in znotraj portfelja določili prioritetne informacijske projekte. Val IT iniciativa predstavlja skupek najboljših praks in priporočil, ki jih je potrebno upoštevati pri sprejemanju odločitev o vlaganjih v informatiko:
Pomembno je vzpostaviti avtonomna in strokovna svetovalna telesa, katerih funkcija je pomoč managementu pri sprejemanju odločitev povezanih z vlaganjem v informatiko;
Vlaganja v informatiko je potrebno upravljati na način portfelja; Vlaganja v informatiko je potrebno upravljati v njihovem celotnem življenjskem ciklu; Kako prepoznati različne kategorije vlaganj, ki jih je potrebno ločeno vrednotiti in
upravljati; Nujno je potrebno opredeliti ključne metrike uspešnosti vlaganj;
49
Pomembno je določiti odgovornosti za izvedbo odločitev o vlaganjih, da bi maksimizirali njihove koristi.
Podobno kot CobIT, ki je komplementaren z Val IT iniciativo, vsebuje Val IT tri ključne procese in štirideset aktivnosti in priporočil, ki jih je potrebno upoštevati, da lahko govorimo o informacijskih vlaganjih, ki prinašajo korist organizaciji. Ključni procesi (Tabela 7) Val IT iniciative so:
1. Upravljanje vrednosti (angl. Value Governance – VG); 2. Upravljanje portfelja (angl. Portfolio Management – PM); 3. Upravljanje investicij (angl. Investment Management – IM).
Tabela 7: Ključni Val IT procesi
UPRAVLJANJE INVESTICIJ – IM UPRAVLJANJE PORTFELJA – PM
IM1 Ustvarjanje vrednosti z IT vlaganji PM1 Upravljanje z ljudskimi viri
IM2 Ocena koristi IT vlaganj PM2 Ugotavljanje potreb po virih
IM3 Kriteriji odobritve in ocene tveganj PM3 Analiza stanja
IM4 Analiza alternativ PM4 Plan razvoja
IM5 Razvoj plana vlaganj PM5 Sledenje potreb po virih
IM6 Razvoj plana koristi iz IT vlaganj PM6 Določanje planskih sredstev
IM7 Določanje stroškov in koristi (življenjski cikel) PM7 Strateška analiza vlaganj
IM8 Ocena ekonomske upravičenosti PM8 Ocena ekonomske upravičenosti
IM9 Dodelitev odgovornosti in pooblastil PM9 Vzpostavitev portfelja investicij
IM10 Inicializacija in zagon vlaganj PM10 Sprejemanje odločitev o vlaganjih
IM11 Upravljanje s programom PM11 Kontrolne točke razvoja
IM12 Upravljanje s koristmi PM12 Optimizacija portfelja
IM13 Posodabljanje programa PM13 Spremljava in rebalans portfelja
IM14 Nadzor in poročanje o poteku PM14 Nadzor in poročanje upravi
IM15 Zaključek programa
UPRAVLJANJE VREDNOSTI – VG VG1 Vodenje in informiranje
VG2 Definiranje in implementacija procesov VG3 Definiranje vlog in odgovornosti
VG4 Interne kontrole VG5 Politika informiranja
VG6 Poročanje o IT investicijah VG7 Vzpostavitev organizacijske strukture
VG8 Določanje strateških usmeritev VG9 Določanje področij vlaganj
VG10 Določanje portfelja VG11 Določanje kriterijev ocenjevanja
Vir: ITGI, The Val IT Framework , 2006, str.17.
Upravljanje vrednosti predstavlja aktivnosti s katerimi določamo organizacijske politike, pravila in način upravljanja, nadzora in kontrole informacijskih vlaganj in njihove strateške vloge v poslovanju. Ta proces se predvsem nanaša na določanje odgovornosti za sprejemanje tovrstnih odločitev, oz. potrebe za vzpostavljanje določenih organizacijskih teles, ki so zadolženi za te odločitve (primer so odbori za strateška vlaganja in projekte, v katerem morajo biti prisotni člani uprave, finančni direktor in direktor informatike).
Osnovni cilj upravljanja portfelja je določiti procedure in način sprejemanja odločitve o odobritvi vlaganj. Poleg tega se znotraj tega procesa določajo tudi kriteriji za odobritev novih vlaganj, določanje prioritet in upravljanje s portfeljem skozi celotni življenjski cikel. Ti kriteriji
50
najpogosteje temeljijo na oceni tveganj vlaganja, nivoju podpore strateškim ciljem poslovanja, nivoju kompleksnosti, itd. Portfeljski pristop omogoča uravnotežen pogled na vlaganja skozi njihov celotni življenjski cikel.
Upravljanje z vlaganji ima cilj omogočiti, da se vsaka posamezna odločitev o vlaganjih v informatiko izvede na način, da ustvari novo vrednost in prinese organizaciji koristi ob sprejemljivih stroških in znanih sprejemljivih tveganjih. Na sliki 10 so prikazane aktivnosti Val IT iniciative.
Slika 10: Procesi in aktivnosti Val IT iniciative
Vir: ITGI, The Val IT Framework , 2006, str.17.
4.5 Ostali okvirji, standardi in metodologije upravljanja informatike
Sistem uravnoteženih kazalnikov (angl. Balanced Scorecard – BSC)
Sistem uravnoteženih kazalnikov (BSC) predstavlja uravnoteženi koncept merjenja učinkovitosti poslovanja, ki sledi izvedbi strategije in je bil predstavljen leta 1992 (Kaplan & Norton, 1992). Osnovni princip tega koncepta je v tem, da se učinkovitost poslovanja ne more meriti samo s finančnega stališča, temveč potrebuje uravnoteženje z dodatnimi metrikami, kot npr. zadovoljstvo kupca, učinkovitost internih poslovnih procesov, upravljanje znanja in človeških virov. Rezultati, ki jih dosežemo z merjenjem tudi nefinančnih kazalcev, omogočajo podjetju, da tudi v bodoče dosega svoje finančne in strateške cilje. Ravno zaradi širokega pogleda na kazalce uspešnosti poslovanja, je ta metoda postala ena izmed najbolj
UPRAVLJANJE
VREDNOSTI
VG
UPRAVLJANJE
PORTFELJA
PM
UPRAVLJANJE
INVESTICIJ
IM
IM1 Ustvarjanje vrednosti z IT vlaganjiIM2 Ocena koristi IT vlaganjIM3 Kriteriji odobritve in ocene tveganjIM4 Analiza alternativIM5 Razvoj plana vlaganjIM6 Razvoj plana koristi iz IT vlaganjIM7 Določanje stroškov in koristi (življenjski cikel)IM8 Ocena ekonomske upravičenostiIM9 Dodelitev odgovornosti in pooblastilIM10 Inicializacija in zagon vlaganjIM11 Upravljanje s programomIM12 Upravljanje s koristmiIM13 Posodabljanje programaIM14 Nadzor in poročanje o potekuIM15 Zaključek programa
PM1 Upravljanje z ljudskimi viriPM2 Ugotavljanje potreb po virihPM3 Analiza stanjaPM4 Plan razvoja PM5 Sledenje potreb po virihPM6 Določanje planskih sredstevPM7 Strateška analiza vlaganjPM8 Ocena ekonomske upravičenostiPM9 Vzpostavitev porfelja investicijPM10 Sprejemanje odločitev o vlaganjihPM11 Kontrolne točke razvojaPM12 Optimizacija portfeljaPM13 Spremljava in rebalans portfeljaPM14 Nadzor in poročanje upravi
VG1 Vodenje in informiranjeVG2 Definiranje in implementacija procesovVG3 Definiranje vlog in odgovornostiVG4 Interne kontroleVG5 Politika informiranjaVG6 Poročanje o IT investicijahVG7 Vzpostavitev organizacijske strukture
51
pogosto uporabljanih pri strateškem upravljanju. Kazalci oz. metrike uspešnosti v vseh štirih kategorijah (finančni, kupci, notranji poslovni procesi, vidik učenja in rasti) pogosto predstavljajo strateške cilje oz. kazalce uspešnosti poslovanja v prihodnje, pri čemer lahko management iz strategije izdvoji ključne operativne aktivnosti, nadzor nad njihovo izvedbo in meri uspešnost. Osnovni namen uporabe BSC metode je, da se strateški cilji razdelijo v jasne operativne aktivnosti, katerih uspešnost izvedbe lahko transparentno merimo s pomočjo kazalcev. Kazalci uspešnosti se določajo na vseh strateških nivojih in delijo na nosilce in cilje vse do najnižjega hierarhičnega nivoja. Vsi parametri so merljivi na vseh korporativnih nivojih, pomembno pa je, da so medsebojno hierarhično usklajeni.
Značilnost nefinančnih kazalnikov je v tem, da so prav tako zgodovinsko odvisni kot finančni, vendar so tudi kredibilni kazalniki za bodoče poslovanje. BSC vse kazalnike razdeli na štiri skupine oziroma vidike (Kovačič & Bosilj-Vukšid, 2005, str. 118):
Finančni vidik se opira na finančne kazalnike, ki naj bi prikazali, ali strategija organizacije vodi k izboljšanju finančnih rezultatov (donosnost, rast, vrednost delnice, itn.);
Vidik strank vsebuje kazalnike (npr. tržni delež, zvestoba strank, dobičkonosnost stranke), ki so dolgoročno pomembni, saj s strankami ustvarjamo dohodek. Vidik vodstvu omogoča izoblikovati strategijo za bodoče finančne donose;
Vidik notranjih procesov odraža zunanjo uspešnost in notranjo učinkovitost podjetja; Vidik učenja in rasti premošča razkorak med prvimi tremi vidiki. Glede na dinamičnost
poslovnega okolja je težko verjeti, da se bodo vedno idealno dopolnjevali. Kazalniki so npr. zadovoljstvo, ohranjanje zaposlenih, usposabljanje in znanje zaposlenih, itn.
Z naraščanjem pomembnosti informacijske podpore v poslovanju se je tudi model BSC prilagodil pomembnosti informatike z IT BSC modelom (angl. Information Technology Balanced Scorecard). Na ta način IT BSC v povezavi s CobIT-om postaja krovno ogrodje za izvedbo korporativnega upravljanja informatike. Kot primer, uprava in izvršni management lahko izbere naslednje metrike za učinkovito korporativno upravljanje informatike:
Kakšno poslovno vrednost mora dodati oz. ustvariti informatika? S katerimi metodami management nadzira učinkovitost vlaganja v informatiko? Kako zagotoviti, da ključni informacijski projekt ne bo propadel oz. ne bo izpostavil
poslovanja tveganju? Kako najvišje vodstvo podjetja nadzira delo informatike in CIO-ta? S kakšnimi metodami in korporativnimi telesi nadziramo izvajanje strateškega načrta
informatike?
Ta in podobna vprašanja predstavljajo cilj izvedbe korporativnega upravljanja informatike, medtem ko revizija informacijskih sistemov, predstavlja analitično orodje za merjenje uspešnosti izvedbe. Na sliki 11 so prikazana štiri osnovna področja klasičnega BSC modela in IT BSC modela, iz katere se lepo vidi njuna medsebojna povezanost. Pomembno je poudariti, da je povezanost obojestranska, kar z drugimi besedami pomeni, da posamezna področja IT BSC modela v veliki meri vplivajo na zmogljivost področij znotraj klasičnega BSC modela. Ravno te povezave lahko smatramo za temelje korporativnega upravljanja informatike oz. mostom med managementom in informatiko.
52
Slika 11: Povezava BSC in IT BSC
Vir: M. Spremič, Korporativno upravljanje informatike, 2007, str. 237.
Na sliki 12 je prikazana uporaba BSC metode na informacijski tehnologiji oz. izdelan je generičen IT BSC model. Iz slike je razvidno, da se metode in okvirji med seboj dopolnjujejo z osnovnim ciljem: kako pokriti določeno področje korporativnega upravljanja informatike in managementu zagotoviti orodje za merjenje učinkovitosti informatike kot poslovne funkcije.
Slika 12: Generični IT BSC model
Vir: M. Krisper & A. Rožanec, Uporaba uravnoteženega sistema kazalnikov za spremljanje uresničevanja strategije v javni upravi, 2002, str. 3.
BSC
FINANČNI VIDIK
VIDIK STRANKE
VIDIK NOTRANJIH PROCESOV
VIDIK INOVACIJ IN UČENJA
IT BSC
DOPRINOS POSLOVANJU
USMERITEV K STRANKI
OPERATIVNA ODLIČNOST
USMERITEV V PRIHODNOST
FINANČNI VIDIK
Kako organizacijo vidijo njeni lastniki?
VIDIK INOVACIJ IN UČENJA
Kaj mora organizacija narediti, da
ostane uspešna tudi v prihodnosti?
Poslanstvo:
Delničarjem zagotoviti največjo dodano
vrednost, kratkoročno in dolgoročno.
Usmeritve:
- preživetje
- uspešnost
Merila:
- ROI (vračilo naložbe) in denarni tok
- tržni delež
Poslanstvo:
Inovacije, izboljšave in učenje.
Usmeritve:
- tehnološko vodstvo
- osredotočenost na izdelke/storitve
Merila:
- čas za razvoj nove generacije
izdelkov/storitev
- število starih v primerjavi z novimi
izdelki/storitvami
VIDIK STRANKE
Kako stranke vidijo organizacijo?
Poslanstvo:
Stranki zagotoviti največjo dodano
vrednost.
Usmeritve:
- novi izdelki/storitve
- partnerstvo s strankami
Merila:
- odstotek novih izdelkov/storitev v
celotnem prihodku
- skupni razvojni napori
VIDIK NOTRANJIH PROCESOV
Kako lahko organizacija izboljša
notranje procese za zagotavljanje
boljših storitev?
Poslanstvo:
Učinkovita proizvodnja/nudenje in dostava
izdelkov/storitev.
Usmeritve:
- kakovost proizvodnje
- kakovost dostave/nudenja storitve
Merila:
- stroški/cena na enoto izdelka/storitve
- povprečen čas izvršitve naročila
PRETOK
INFORMACIJ
53
Tako kot izvorni BSC model, tudi IT BSC model temelji na vzročno-posledičnih zvezah, npr:
Vzrok: če se bodo v informatiki povečevala poslovna, managerska in tehnična znanja:
Posledica: lahko to vpliva na zviševanje nivoja kakovosti informacijske storitev (operativna učinkovitost);
Posledica: lahko se izboljša nivo zadovoljstva stranke (usmerjenost na stranko);
Posledica: se to odraža v boljši podpori ključnih poslovnih procesov (doprinos poslovanju).
Iz teh ciljev se lahko določi in medsebojno kombinira razne podrobne metrike uspešnosti (npr: metrika produktivnosti razvojnega osebja bo odvisna od števila dni namenjenega izobraževanju).
Postopek operativne izvedbe IT BSC modela se odvija v naslednjih korakih:
Opredeliti ključne strategije in metrike uspešnosti za vsa štiri osnovna področja in zadolžiti odgovorne osebe;
Razdeliti temeljne cilje po glavnih področjih; Določiti vzročno posledične zveze med področji in metrikami uspešnosti; Znotraj vsakega področja odrediti metrike uspešnosti; Opredeliti obveznosti in odgovornosti za dosego zastavljenih ciljev; Z uvedbo primernih metod in ogrodij (CobIT, ITIL, ISO,...) nadzirati uvedbo in
ocenjevati njegovo uspešnost; Slediti na kakšen način posamezni cilji in metrike vplivajo na strateške cilje.
Basel II
Basel II predstavlja priporočila in smernice za učinkovito upravljanje z vsemi vrstami tveganj v bančnem področju. Te smernice so nastale leta 2004 (Basel I priporočila so bila sprejeta leta 1988) s strani Odbora za nadzor bank (angl. Basel Committee on Banking Supervision), Banke za mednarodno poravnavo (angl. Bank for International Settlements, BIS). Osnovni cilj Basel II priporočil je dvigniti nivo zavesti o potrebi krepitve mehanizma upravljanja vseh vrst korporativnih tveganj, posebno operativnih in kreditnih tveganj. Z upoštevanjem priporočil in smernic, banke razvijejo učinkovit in kakovosten sistem upravljanja in kontrole tveganj, ki naj bi postal eden od kritičnih mehanizmov upravljanja bank in finančnih institucij.
Posebno vlogo v poslovanju bank ima informacijska tehnologija in informacijski sistem, zato se en del Basel II priporočil nanaša na zahtevo vzpostavitve učinkovitega sistema upravljanja informacijskih tveganj in obveznost izvajanja rednih revizijskih pregledov. Priporočila o korporativnem upravljanju tveganj iz Basel II priporočila se delijo na tri dele (Minimum Capital Requirements, Supervisory Review Process, Market Discipline). Basel II priporočila pred banke postavljajo nove zahteve za izpostavljanje tveganjem in opredeljujejo naslednje kategorije tveganj v bankah: kreditna tveganja, tržna tveganja, operativna tveganja, likvidnostna tveganja, tveganje obrestnih mer, pravna tveganja, strateška tveganja in reputacijska tveganja.
Informacijska tveganja imajo lahko velik vpliv na ostala tveganja, zato ni nič nenavadno, da je zanimanje bank za informacijska vprašanja naglo porastlo ob implementaciji Basel II
54
priporočil. Glede na strateško umestitev informatike in informacijskih sistemov v bankah, Basel II okvir regulira popolno novo kategorijo tveganja – operativno tveganje. Operativno tveganje predstavlja tveganje neuspešne izvedbe in tveganje napake v izvedbi poslovnih procesov in transakcij. Basel II določa niz aktivnosti, ki jih je potrebno izvesti, da bi management banke uspešno upravljal z vsemi tveganji. Korporativno upravljanje informatike oz. uporaba informacijske tehnologije in informacijskih sistemov v poslovanju največ vpliva na nivo operativnih tveganj, oz. tveganj nemotenega delovanja poslovnih procesov in transakcij. Kontrolni mehanizmi s katerimi lahko upravljamo ta tveganja, so vzpostavitev neprekinjenega poslovanja, kontrolo dostopov, varnostna politika, zloraba opreme, podatkov in virov informacijskega sistema, prakse in korporativne politike pri uporabi informacijske tehnologije in sistemov, sistemske napake, aplikacijske kontrole, podatkovne kontrole, itd. (ITGI, 2007a).
COSO in Sarbanes-Oxley zakon
Leta 1992 je pet računovodskih in finančnih podjetij iz ZDA povezanih v zvezo z imenom COSO (angl. Committee of Sponsoring Organizations of the Treadway Comision) objavilo prvo poročilo o interni kontroli (COSO, 1992). Namen poročila je bilo dvigovanje zavesti najvišjega managementa o potrebi po izvajanju aktivnih internih kontrol, kot pomembne komponente upravljanja poslovanja. COSO iniciativa poudarja, da uspešno upravljanje ni mogoče brez vzpostavitve učinkovitega sistema internih kontrol, s katerimi preverjamo učinkovitost postopka izvajanja strategije poslovanja, cilje dobičkonosnosti in upravljanja s tveganji. S tem je interna kontrola dobila pomembno mesto v managerskih strukturah, medtem ko je korporativno upravljanje s tveganji postalo ključni element sodobnega načina vodenja poslovanja.
COSO poročilo sestavljajo štirje deli:
1. Povzetek za izvršni management; 2. Okvir internih kontrol; 3. Smernice za zunanje poročanje; 4. Orodja za oceno uspešnosti sistema internih kontrol.
Okvir internih kontrol (angl. Framework), predstavlja jedro COSO metode, ker opredeljuje kako vzpostaviti, ocenjevati uspešnost in posodabljati sistem internih kontrol za potrebe korporativnega upravljanja in korporativnega upravljanja informatike. Sistem internih kontrol vsakega podjetja je po COSO poročanju sestavljen iz petih povezanih komponent:
1. Kontrolno okolje (angl. Control Environment); 2. Ocena tveganj (angl. Risk Assessment); 3. Kontrolne aktivnosti (angl. Control Activities); 4. Informiranje in komuniciranje (angl. Information and Communication); 5. Spremljava in nadzor (angl. Monitoring).
V primeru COSO priporočil govorimo o informacijskih kontrolah, ki vplivajo na izdelavo, obdelavo in distribucijo finančnih poročil podjetja. Podobno kot pri CobIT-u in ITIL-u, zrelost kontrol merimo z ocenami od 0 do 5:
55
0. kontrolni mehanizmi ne obstajajo; 1. začetni nivo; 2. kontrole obstajajo, vendar so nekoordinirane in stihijske; 3. kontrole obstajajo, procedure so definirane in dokumentirane; 4. kontrole so upravljane, se nadzirajo in meri njihova uspešnost; 5. kontrole so na optimalnem nivoju.
S stališča korporativnega upravljanja informatike je to tudi največja pomanjkljivost COSO priporočil, saj se njegova uporaba osredotoča samo na mehanizme in dele informacijskega sistema in poslovne procese, ki vplivajo na ustvarjanje, obdelavo in distribucijo finančnih poročil podjetja, medtem ko so ostala tveganja zanemarjena.
Sarbanes-Oxley zakon (SoX) je nastal leta 2002 na iniciativo ameriških kongresnikov Sarbanes-a in Oxley-a, po nastalih škandalih (Enron, WorldCom), ki so dodobra pretresli poslovni svet. Določila Sarbanes-Oxley zakona so postale obvezne za vsa podjetja, ki so kotirala na borzi v ZDA, z namenom vpeljave učinkovitega sistema internih kontrol nad procesom finančnega poročanja. S tem zakonom se predpisuje nujne kontrole, ki se morajo implementirati na način, da se minimizira tveganje (netočnih, nepopolnih) finančnih poročil. SoX kontrole pokrivajo tveganje izvedbe revizije finančnih poročil oz. tveganje njihove netočnosti, nepopolnosti ali napačne interpretacije. Od organizacij se zahteva uvedbo širokega spektra učinkovitih ročnih, polavtomatiziranih ali avtomatiziranih kontrol, ki jih je potrebno vgraditi v proces finančnega poročanja.
IT Governance Institute in ISACA sta leta 2004 izdali priporočila o uporabi informacijske tehnologije in informacijskih sistemov pri izvajanju učinkovitega sistema internih kontrol (ITGI, 2004). Cilj tega dokumenta je podati odgovor na vprašanje kakšno je stanje internih informacijskih kontrol v podjetju. Zaključki dokumenta, kot tudi ostalih raziskav so, da imajo informacijske kontrole širok vpliv na ostale kontrole in njihove cilje. S tem informacijska tehnologija in informacijski sistem predstavlja temelj učinkovitega sistema internih kontrol poslovanja, oz. brez celotnega preverjanja (revizije) učinkovitosti kontrol management ne more imeti zagotovilo, da so finančna poročila točna, popolna in korektno odražajo finančno stanje podjetja. Učinkovitost SoX kontrol merimo na enak način kot v CobIT-u, COSO oz. ITIL-u, z ocenami zrelosti od 0 do 5. Poleg tega Sarbanes-Oxley zakon v ZDA predpisuje, da so izvršni direktorji odgovorni za izvedbo sistema internih kontrol v poslovanju.
Basel II, COSO in Sarbanes-Oxley zakon predstavlja tipičen primer horizontalnih norm, ki se nanašajo na ozko področje (bančništvo) ali pa imajo krajši »doseg« (sistem internih kontrol in proces finančnega poročanja). S stališča korporativnega upravljanja informatike in revizije informacijskih sistemov govorimo o podobnih področjih. Kot primer, operativno tveganje iz Basel II priporočil predstavlja zelo pomembno komponento SoX kontrole, čeprav formalno ni zapisana. SoX ne predpisuje formalne kontrole, ki pokriva operativna tveganja, temveč nudi sklop drugih podrobnih kontrol, s katerimi znatno vpliva na zmanjšanje operativnega tveganja. Podobno je tudi pri COSO priporočilih, ki se nanašajo na proces planiranja, oblikovanja in izvedbe okvirja za upravljanje s tveganji, ki pokriva področje tveganj finančnih poročil (SoX) ali operativnih tveganj (Basel II).
56
TickIT
TickIT predstavlja klasificirano shemo, razvito s strani TickIT oddelka (urad znotraj Britanskega inštituta za standarde, (angl. British Standard Institute, BSI), ki služi za oceno kakovosti in certificiranja programske opreme znotraj organizacije. TickIT urad izdaja certifikat o kakovosti vseh vrst programske opreme (operacijski sistemi in aplikativna programska oprema). Namenjen je organizacijam, ki želijo oceniti in izboljšati kakovost procesa razvoja programske opreme oz. vse faze v tem razvoju in organizacijam, katerim programska oprema predstavlja temelj za izvajanje poslovnih procesov. TickIT temelji na krovnem ISO 9000-3 standardu z dodatnimi napotki kako izvesti standard v praksi oz. je orientiran na razvoj programske opreme in povezanih sistemov upravljanja kakovosti, zato je njegova usmeritev precej ozka in posledično doprinos k korporativnemu upravljanju precej omejen.
NIST 800-14
Ameriški nacionalni inštitut za standarde in tehnologijo (angl. National Institute of Standards and Technology, NIST) izdaja publikacijo o splošnih načelih in praksi za varnost sistemov, ki temeljijo na informacijski tehnologiji (angl. Generally Accepted Principles and Practices for Securing Information Technology Systems). Gre za skupek načel in najboljših praks za vzpostavitev in vzdrževanje varnosti informacijskih sistemov in tehnologije. Prva različica publikacije je bila izdana leta 1996 in od takrat se redno posodablja. Osnovni cilj publikacije je tema o pomembnosti varnosti in kako doseči želeni nivo varnosti. Dokument ne loči tehničnih, operativnih ali upravljavskih kontrol in se v veliki meri naslanja na ISO/IEC 17799 standard. Zaradi tega je tudi njegova uporaba v korporativnem upravljanju informatike omejena, saj se nanaša na izvedbo revizije varnosti informacijskih sistemov.
CMMI
CMM (angl. Capability Maturity Model) je bil v osnovi zamišljen kot model za izboljševanje procesov v razvoju proizvodov in storitev. Prvotno se je njegova uporaba omejila na proces razvoja aplikativne programske opreme. CMM je za potrebe ameriškega ministrstva za obrambo leta 1986 razvil inštitut za programsko inženirstvo (angl. Software Engineering Institute, SEI) z namenom vodenja in upravljanja velikih razvojnih projektov. CMM je bil javno dostopen in hitro je postal splošno uporabljan model za izboljšanje procesa razvoja programske opreme in kakovosti samih aplikacij. Leta 1989 se model CMM razširi z CMMI modelom (angl. Capability Maturity Model Integration, CMMI), s katerim naj bi se aktivnosti razvoja programske opreme uskladile z zahtevami poslovanja oz. poslovnimi procesi. CMMI model predstavlja skup najboljših praks v postopku razvoja in vzdrževanja programske opreme in podjetjem omogoča oceno uspešnosti lastnega procesa razvoja programske opreme in kakovost aplikacij.
CMMI model je uvedel tudi nekaj načel, ki jih uporabljajo tudi ostali okvirji (CobIT in ITIL), kot npr. pet nivojev zrelosti razvoja programske opreme. Gre za dobro poznan model zrelosti (angl. Maturity Model), s katerim se glede na zrelost v sami organizaciji, aktivnostim razvoja dodeli ocene od 1 do 5:
57
1. Začetna zrelost (angl. Initial) – proces razvoja je kaotičen, stihijski, razvoj je neorganiziran in odvisen od posameznika;
2. Ponavljajoča (angl. Repeatable) – obstajajo procesi za spremljavo razvoja ki so nekoordinirani;
3. Definirana (angl. Defined) – proces razvoja je dokumentiran in predpisan tako s tehnične kot managerske strani. Obstajajo priporočila oz. organizacijski standardi ali predpisi ki jih organizacija uporablja pri razvoju;
4. Upravljan (angl. Managed) – obstajajo natančna merila uspešnosti procesa razvoja programske opreme in kakovost končnega proizvoda. Prisoten je učinkovit sistem stalnega nadzora procesa in aktivnosti;
5. Optimalna (angl. Otimizing) – na osnovi revizije učinkovitosti, se procesi načrtno izboljšujejo k načrtovanem nivoju kakovosti.
Primerjava zrelostnih modelov CMM in CobiT 4.1
Oba zrelostna modela se razlikujeta v tem, da model CobiT podaja 6 nivojsko lestvico zrelosti
procesov, model SEI CMM-SW pa 5 nivojsko, pri čemer je v CobiT modelu na prvem mestu
naveden nivo »0 – Ne obstoječ«, ki ga model SEI CMM-SW ne obravnava, medtem, ko so si
ostali nivoji pomensko povsem enaki (Tabela 8).
Tabela 8: Primerjava CobIT in CMM zrelostnih modelov
CobIT CMM
nivo 0 – Neobstoječ - nivo 1 – Začetni / Ad Hoc nivo 1 – Začetni nivo 2 – Ponovljiv a intuitiven nivo 2 – Ponovljiv nivo 3 – Definiran proces nivo 3 – Definiran nivo 4 – Upravljan in merljiv nivo 4 – Upravljan
nivo 5 – Optimalen nivo 5 – Optimalen
Vir: NLB d.d. , Priročnik za izvedbo samoocenitve po modelu CobIT, 2008, str.3.
Bistvena vsebinska razlika med obema modeloma je v tem, da CMM model kriterije zrelosti
in zmogljivosti procesov opira na procese, ki tečejo znotraj projektov v organizaciji, CobIT pa
se osredotoča na izvajanje procesov v celotni organizaciji. Grafičen prikaz modela zrelosti
prikazuje slika 13.
58
Slika 13: Grafični prikaz modela zrelosti
Vir: ITGI, CobIT 4.1, 2007, str.18.
Primerjava opisov zrelostnih nivojev obeh modelov je prikazana v tabeli 9.
Tabela 9: Opisna primerjava CobIT in CMM zrelostnih modelov
CMM CobIT 4.1
0 Neobstoječ Potreba po notranjem nadzoru ni prepoznana. Nadziranje ni del organizacijske kulture ali poslanstva. Prisotno je visoko tveganje pomanjkanja nadzora in pojavljanja incidentov. Ni namere za ocenitev potreb po notranjem nadzoru. Incidente se rešuje sproti, ko le-ti nastanejo.
1 Začetni Procesi so običajno »ad hoc« in kaotični. Organizacija običajno ne priskrbi stabilnega okolja v podporo procesom. Uspeh v teh organizacijah je odvisen od kompetentnosti in junaštva ljudi in ne od uporabe preizkušenih procesov. Kljub kaosu organizacije 1. zrelostnega nivoja pogosto naredijo izdelke, ki delujejo, vendar ob tem pogosto presežejo proračun in ne ulovijo rokov. Organizacije 1. zrelostnega nivoja zaznamuje težnja po preobremenitvi, opuščanju procesov v kriznih razmerah in nesposobnost ponovitve uspeha.
1 Začetni / Ad Hoc Nekaj zavedanja o potrebi po notranjem nadzoru obstaja. Pristop do tveganj in nadzorovanju zahtev je »ad-hoc«, ni organiziran, je brez komunikacije in spremljanja. Pomanjkljivosti niso identificirane. Zaposleni se ne zavedajo svojih odgovornosti. Ni zavedanja o potrebi po ocenjevanju potrebnih IT kontrol. Kontrole se izvršijo le po »ad-hoc« načelu, na visokem nivoju in kot odgovor na odmevnejše incidente. Ocenjevanje zadeva le aktualne incidente.
2 Ponovljiv Projekti v organizaciji procese načrtujejo in jih izvajajo skladno s politiko; zaposlujejo izkušene ljudi z ustreznimi viri, ki omogočajo izdelavo kontroliranih izhodov; vključujejo pristojne deležnike; so spremljani, nadzorovani in pregledovani; ocenjuje se njihova privrženost opisom njihovih procesov. Procesna disciplina izražena z 2. nivojem zrelosti pomaga zagotavljati, da obstoječe obstanejo tudi v stresnih obdobjih. Kadar so te prakse udejanjene, so projekti izvajani in vodeni skladno z dokumentiranimi načrti. Z 2. zrelostnim nivojem so statusi vmesnih izdelkov in opravljenih storitev v določenih točkah (npr. večji mejniki in zaključki večjih aktivnosti) vidne vodstvu. Med pristojnimi deležniki je vzpostavljen prevzem obveznosti, ki se po potrebi revidira. Vmesni izdelki so primerno nadzorovani. Vmesni izdelki in storitve izpolnjujejo določene opise procesov, standarde in postopke.
2 Ponovljiv a intuitiven Kontrole so vzpostavljene, a niso dokumentirane. Njihovo izvrševanje je odvisno od znanja in motivacije posameznikov. Njihova učinkovitost ni primerno ovrednotena. Vsebujejo veliko pomanjkljivosti, ki glede na njihov morebitno močan vpliv niso primerno obravnavane. Ukrepi vodstva za reševanje težav nimajo določenih prioritet in niso usklajeni. Zaposleni se svojih odgovornosti ne zavedajo dovolj. Potreba po določitvi kontrol se pojavi le, ko se za izbrane IT procese ugotavlja nivo zrelosti, določa ciljni nivo in analizira obstoječe vrzeli. Definiranje procesnih kontrol in izvršitev načrta ukrepov se dogovarja na neformalnih delavnicah, v katere so vključeni IT vodje in skupina sodelujočih v procesu.
3 Definiran Procesi so dobro opisani in razumljeni. Opisani so v standardih, postopkih, orodjih in metodah. Nabor standardnih procesov v organizaciji, ki je osnova 3. zrelostnega nivoja, je vzpostavljen in se nenehno izboljšuje. Ti standardni procesi služijo za vzpostavitev doslednosti v celotni organizaciji. V skladu z dogovorjenimi pravili si projekti te procese prilagajajo lastnim potrebam. Ključna razlika med 2. in 3. zrelostnim nivojem je obseg standardov,
3 Definiran proces Kontrole so vzpostavljene in ustrezno dokumentirane. Njihova učinkovitost se periodično ocenjuje, vendar pa proces ocenjevanja ni dokumentiran. Čeprav vodstvo na večino težav lahko predvidljivo ukrepa, še vedno obstoja nekaj šibkosti, ki imajo lahko zelo resen vpliv. Zaposleni se zavedajo svojih odgovornosti. Kritični IT procesi so identificirani glede na njihov pomen in tveganja. Pripravljena je podrobna analiza
0 1 2 3 4 5
Ne obstaja Začetni Ponavljajoči Definiran Upravljan Optimalen
Trenutno stanje v podjetju
Vodila internih standardov
Stanje v industriji
Strategija podjetja
se nadaljuje
59
CMM CobIT 4.1
opisov procesov in postopkov. Pri 2. zrelostnem nivoju se standardi, opisi procesov in postopki lahko med seboj precej razlikujejo (npr.za posamezne projekte). Pri 3. zrelostnem nivoju so standardi, opisi procesov in postopki za projekt ali organizacijsko enoto vzeti iz nabora standardnih procesov v organizaciji in so zato bolj dosledni, prilagoditve pa so opravljene le v skladu z dopustnimi dogovorjenimi pravili. Druga ključna razlika je, da so pri 3. zrelostnem nivoju procesi opisani bolj rigorozno kot pri 2. Definiran proces ima jasno opredeljen namen, vhode, vhodne kriterije, aktivnosti, vloge, merila, korake verifikacije, izhode in izhodne kriterije. Pri 3. nivoju so procesi bolj proaktivno vodeni, pri čemer se opira na poznavanje soodvisnosti med aktivnostmi v procesu, podrobnih procesnih meril ter vmesne izdelke in storitve procesa. Pri 3. zrelostnem nivoju mora organizacija še naprej dvigovati zrelost procesnih področij 2. zrelostnega nivoja. Za dosego 3. zrelostnega nivoja so uvedene generične prakse vezane na generični cilj 3 (vzpostavitev definiranega procesa), ki jih 2. nivo ne zajema.
potreb po kontrolah in izvornih vzrokih vrzeli z namenom ugotovitve priložnosti za izboljšave. Na delavnicah se uporabljajo orodja, analize so podprte z intervjuji, s čimer se zagotavlja, da lastnik procesa resnično upravlja proces, ga ocenjuje in izboljšuje.
4 Upravljan Organizacija in projekti si postavljajo merljive cilje kakovosti in procesne zmogljivosti, ki jih uporabljajo kot kriterije upravljanja procesov. Cilji izvirajo iz potreb strank, končnih uporabnikov, organizacije in izvajalcev procesov. Kakovost in procesna zmogljivost se statistično obdeluje in obvladuje skozi celoten življenjski cikel procesov. Za izbrane podprocese se zbirajo natančni kvantitativni podatki o zmogljivosti in se statistično analizirajo. Metrike kakovosti in procesne zmogljivosti so sestavni del zbirke meritev v organizaciji in podpirajo sprejemanje odločitev na podlagi dejstev. Odstopanja od procesov so identificirana in kjer je primerno, se vzroki zanje odpravijo tako, da do njih ne prihaja več. Bistvena razlika med 3. in 4. zrelostnim nivojem je predvidljivost procesne zmogljivosti. Pri 4. nivoju je procesna zmogljivost nadzorovana s pomočjo statističnih analiz in drugih tehnik merjenja in jo je mogoče kvantitativno napovedati, pri 3. nivoju pa jo je običajno mogoče napovedati le kvalitativno.
4 Upravljan in merljiv Uveden je učinkovit notranji nadzor in upravljanje s tveganji. Ocenjevanje kontrol se izvaja formalno in dokumentirano. Več kontrol je avtomatiziranih in se jih redno pregleduje. Vodstvo zazna skoraj vse težave, vendar niso vse rutinsko identificirane. Uvedena je redna spremljava (follow-up) težav. Uvedena je omejena uporaba tehnologije za avtomatizacijo kontrol. Kritičnost IT procesov je primerno definirana s polno podporo in soglasjem pristojnih lastnikov s poslovne strani. Ocenjevanje zahtev po kontrolah temelji na politiki in stvarni zrelosti teh procesov, ki mu sledi temeljita analiza meritev, ki zajema vse ključne udeležence. Odgovornost za ocenjevanje je jasna in uveljavljena. Strategije izboljševanja temeljijo na poslovnih primerih. Izvrševanje in doseganje izbranih rezultatov se dosledno spremlja. Občasno so organizirani tudi zunanji kontrolni pregledi. Poslovne zahteve upoštevajo kritičnost IT procesov in zajemajo tudi morebitno ponovno vrednotenje zmožnosti procesnih kontrol. Lastniki IT procesov redno izvajajo samo-ocenitve, da preverijo, če so kontrole še primerne in izpolnjujejo poslovne potrebe, in preučijo možnosti za izboljšanje njihove učinkovitosti. Organizacija se primerja z zunanjimi dobrimi praksami in išče zunanje nasvete za izboljšanje kontrol. Za kritične procese se izvajajo neodvisni pregledi, s katerimi se zagotavlja, da so kontrole primerne in delujejo, kot je načrtovano.
5 Optimalen Organizacija nenehno izboljšuje svoje procese na podlagi kvantitativnih podatkov o vzrokih za njihova odstopanja. 5. zrelostni nivo se osredotoča na nenehno izboljševanje procesne zmogljivosti s postopnimi in inovativnimi izboljšavami procesov in tehnologije. V organizaciji so vzpostavljeni kvantitativni cilji procesnih izboljšav, ki se tekoče pregledujejo in usklajujejo s spremembami poslovnih ciljev. Uporabljajo se kot kriterij za obvladovanje procesnih izboljšav. Učinek uvedenih procesnih izboljšav se meri in vrednoti glede na postavljene kvantitativne cilje. Definirani procesi in standardni nabor procesov v organizaciji so predmet merljivih aktivnosti za izboljševanje. Ključna razlika med 4. in 5. zrelostnim nivojem je način obravnave odstopanj v procesih. Pri 4. zrelostnem nivoju se organizacija osredotoča na posebne primere odstopanj v procesih in ugotavljanje statistične napovedljivosti rezultatov. Čeprav proces lahko izdela predvideni rezultat pa ni rečeno, da le-ta izpolni postavljene cilje. Pri 5. zrelostnem nivoju se organizacija posveča skupnim vzrokom za procesna odstopanja in spreminjanju procesov (da bi dvignila procesno zmogljivost od povprečja ali zmanjšala pojavljanje odstopanj od procesov) zato, da bi izboljšala procesno zmogljivost in dosegla postavljene kvantitativne cilje procesnih izboljšav.
5 Optimalen Program nadzora in obvladovanja tveganj v organizaciji zagotavlja stalno in učinkovit nadzor in reševanje vprašanj povezanih s tveganji. Notranji nadzor in obvladovanje tveganj sta integrirana v splošno prakso organizacije, podprta sta z avtomatiziranim real-time spremljanjem in polno odgovornostjo za izvajanje nadzora, obvladovanje tveganj in uveljavljanjem skladnosti. Ocenjevanje nadzora je stalno in temelji na samo-ocenjevanju ter analiziranju vrzeli in izvornih vzrokov napak. Zaposleni so proaktivno vključeni v izboljševanje nadzora.
Vir: NLB d.d. , Priročnik za izvedbo samoocenitve po modelu CobIT, 2008, str.6.
nadaljevanje
60
PRINCE2 in PMBOOK
PRINCE2 (angl. Projects IN Controlled Enviroment) predstavlja navodila in priporočila, ki jih je izdal OGC urad (angl. Office of Government Commerce, UK OGC) in predstavlja metodologijo upravljanja s projekti. PRINCE2 je naprednejša različica PRINCE tehnike iz leta 1989, ki je predstavljala »de-facto« standard in skupek priporočil za učinkovito upravljanje z informacijskimi projekti. Po uspehu te metode in njeni širitvi na neinformacijske projekte, se je leta 1996 razvila splošna metodologija upravljanja s projekti pod imenom PRINCE2.
PRINCE2 je procesno orientirana metodologija upravljanja s projekti, ki zajema osem ključnih procesov (zagon projekta, planiranje, injiciranje projektne naloge, kontrolo projekta s strani uprave, kontrola projekta, dostava rezultatov projekta po fazah, zaključevanje posameznih faz projekta in zapiranje projekta), ki se naprej deli na skupno 45 podprocesov. Za vsakega od njih je določen sistem merjenja učinkovitosti oz. model zrelosti. S stališča korporativnega upravljanja je mogoče metodo PRINCE2 uporabiti v segmentu upravljanja informacijskih projektov.
Podobna metoda kot PRINCE2 je metoda PMBOOK (angl. Project Management Body of Knowledge), ki jo je leta 1987 izdal Inštitut za upravljanje projektov (angl. Project Management Institute, PMI). Trenutno je veljavna tretja izdaja (angl. A Guide to the Project Management Body of Knowledge – PMBOOK Guide – Third Edition), ki je bila izdana v letu 2004 in vsebuje priporočila in navodila za upravljanje z vsemi vrstami projektov. Vodič vsebuje pet skupin procesov (zagon projekta, planiranje, izvedba, kontrola in nadzor, zapiranje projekta) in devet področij znanja, ki so skupna vsem tipom projektov. Teh devet področij (integracija, kakovost, delokrog, človeški viri, čas, komuniciranje v projektnem timu, stroški in dostava) predstavljajo področja, v katerih moramo izpopolnjevati svoje znanje.
Analiza stroškov in koristi
Metoda Analize stroškov in koristi (angl. Cost Benefit Analysis, CBA) je najbolj znana in izredno uporabljana analiza za vrednotenje projektov. Njena popularnost izvira iz enostavnega koncepta, čeprav je izvedba lahko precej kompleksna. Temelji na razkrivanju prednosti in stroškov, ponavadi v monetarnih enotah, ki naj bi jih vpeljava projekta prinesla. Je izredno široka med študijami ekonomske upravičenosti in ima tudi nekaj izpeljank, npr. analiza stroškov in učinkovitosti ter analiza stroškov lastništva (angl. Total Cost of Ownership, TCO). Metoda Analize stroškov in koristi je uporabna tako za analizo ekonomske upravičenosti informacijskih projektov, kot za analizo ekonomske upravičenosti na podlagi podatkov informacijskega sistema.
Metoda spremljanja stroškov po aktivnostih
Značilnost metode spremljanja stroškov po aktivnostih (angl. Activity Based Costing, ABC) je v spremljanju stroškov stroškovnih nosilcev po aktivnostih. Tako poskuša odpraviti pomanjkljivost drugih metod, ki stroške deli po kakšnem arbitrarnem ključu (npr. računovodski konvenciji). Ta pomanjkljivost zaradi vse večjega deleža storitvenih dejavnosti prihaja vedno bolj do izraza, ker se zamegli prispevek posameznega stroškovnega nosilca
61
(proizvoda, storitve, projekta) k poslovnemu izidu podjetja (Kovačič & Bosilj-Vukšid, 2005, str. 123). Metoda upošteva dejstvo, da stroške povzročajo aktivnosti in da jih moramo potemtakem pripisati prav njim. Analiza ima naslednje korake:
Ugotavljanje stroškov po stroškovnih mestih; Dodeljevanje posameznih stroškov aktivnostim; Ugotavljanje celotnih stroškov aktivnostim; Porazdeljevanje celotnih stroškov aktivnosti stroškovnim nosilcem; Ugotavljanje celotnih stroškov stroškovnih nosilcev.
Na ta način dobimo precej bolj realen vpogled v stroškovno obremenitev posameznega produkta ali storitve, kar vodi do precej boljšega poslovnega odločanja (npr. boljša cenovna politika, sprememba prodajnega asortimana) oz. lažje ocenimo poslovno vrednost produkta. Vendar ABC zahteva veliko podatkov s primerno granulacijo (npr. porabljene ure za posamezno aktivnost), zato je smiseln le v primeru, da so ti podatki stranski produkti izvajanja poslovnih procesov. Celovite programske rešitve (ERP sistemi) in orodja za modeliranje poslovnih procesov tak zajem omogočajo, še vedno pa je potreben premislek, kdaj se ta metoda izplača (Kovačič & Bosilj-Vukšid, 2005, str. 129).
5 KONVERGENCA OKVIRJEV, STANDARDOV IN METODOLOGIJ
Na sliki 14 je prikazana primerjava uporabe opisanih metod, standardov, priporočil in okvirjev znotraj koncepta korporativnega upravljanja informatike. Glede na to, da smo opredelili, da korporativno upravljanje predstavlja pet ključnih področji, lahko pripomnimo, da CobIT predstavlja krovni okvir korporativnega upravljanja informatike, medtem ko so ostali sistemi uporabni le na posameznih segmentih.
Uspešna izvedba koncepta korporativnega upravljanja informatike pogosto zahteva sočasno uporabo različnih okvirjev, metod in standardov. Pri izvedbi koncepta korporativnega upravljanja informatike, mora izvršni management in CIO pametno kombinirati osnovne prednosti posameznih okvirjev, metod ali standardov. Njihov kvalitativni razpon je izredno širok in uporaben za korporativno upravljanje, posebej na desni strani horizontalne osi. Naj pripomnim, da je osnovna naloga korporativnega upravljanja, da najvišja telesa korporativnega upravljanja glede na trenutne in bodoče potrebe poslovanja, uspešno upravljajo z vlaganji v informatiko, učinkovito upravljajo z informacijskimi projekti in tveganji ter nadzirajo izvajanje strategije. Glede na to, je potrebno z uporabo okvirjev, metod in standardov zagotoviti dve osnovni zahtevi, ki jih morajo izpolniti in sicer:
Izvajanje strateške funkcije (nadzor strategije in strateških aktivnosti, usklajevanje strategije poslovanja in informatike);
Izvajanje kontrole in nadzorne funkcije (upravljanje s tveganji, nadzor in kontrola informacijskih vlaganj in projektov, periodične revizije informacijskega sistema).
62
Slika 14: Uporaba okvirjev, metod in standardov v upravljanju informatike
Vir: M. Spremič, Korporativno upravljanje informatike, 2007, str. 252.
Uporaba CobIT-a in ITIL-a je nepogrešljiva pri izvedbi korporativnega upravljanja informatike. Tukaj so pomembni kontrolni cilji CobIT procesov in njihovo merjenje za preverjanje uspešnosti doseganja. Prednosti CobIT-a pridejo do izraza pri vzpostavljanju korporativnega upravljanja informatike (hitro določanje kritičnih področij, določanje ciljev, izvedba revizije za ugotavljanje dejanskega stanja, ocena zrelosti, široka uporaba, itd.), medtem ko je uporaba ITIL-a nepogrešljiva pri zagotavljanju storitev in sistema upravljanja kakovosti storitve. ITIL in CobIT se medsebojno ne izključujeta, temveč dopolnjujeta, pri čemer tudi ISO standardi (npr. ISO 27000) lahko znatno pripomorejo k upravljanju informacijske varnosti. Naj opomnim, da z IT BSC metodo v povezavi s CobIT-om dosežemo nenehno preverjanje učinkovitosti procedur korporativnega upravljanja.
Ozko Široko
Po
vrš
insko
Glo
bo
ko
Nivo uporabe korporativnega upravljanja
Glo
bin
a u
ve
db
e
PMBOOK
PRINCE2
TickIT
13335
NIST
Val IT
Basel II
SoX
15408
CMMI
ISO 27000
ITIL ISO
20000
IT BSC
COBIT
63
Slika 15: Področja uporabe okvirjev, metod in standardov v upravljanju informatike
Vir: A.Groznik, Strateško načrtovanje informatike – zapiski predavanj, 2008.
Temeljno vprašanje je: Kaj želimo doseči z informatiko in kakšni so njeni cilji? Vsekakor je v ospredju poslovna korist. V navedenih področjih uporabe (Slika 15) so prikazana področja uporabe in vrzel, ki je v tem trenutku prisotna na področju človeških virov. Nedvomno bo potrebno v prihodnje veliko pozornost posvetiti razvoju metodologij prav na tem področju. Razvoj in konvergenca standardov se v prihodnje giblje predvsem v smeri, da zadovolji:
· Skladnost poslovanja in informatike;
· Nižje stroške;
· Višjo kvaliteto;
· Hitrejšo odzivnost;
· Zmanjševanje tveganj.
6 UPRAVLJANJE INFORMATIKE V PRAKSI
V letu 2007 je svetovalno podjetje PricewaterhouseCoopers (PwC) na pobudo IT Governance inštituta (ITGI) opravilo tretjo raziskavo upravljanja informatike (angl. IT Governance), ki je bila objavljena v IT Governance Global Status Report-u 2008 (ITGI, ITGSR, 2008).
Omenjeno raziskavo sem uporabil kot primerjalno raziskavo in kot osnovo za raziskavo upravljanja informatike na področju JV Evrope v finančnem sektorju, ki sem jo opravil v sklopu srečanja Software User Group (SUG) v Skopju maja 2008. SUG predstavlja skupino 29 bank na področju JV Evrope, ki uporabljajo enako celovito programsko rešitev za bančni informacijski sistem. Geografski položaj in število bank v SUG skupini predstavlja: v Srbiji 17 bank od 34 bank, v Črni Gori 5 bank od 11 bank, v Makedoniji 5 bank od 18 bank in v BIH 2 banki od 28 bank. Od tega predstavlja 6 bank skupino bank v skupnem lastništvu podjetja, kjer sem zaposlen.
ZAPOSLENI
?
STRUKTURE IN
VLOGE
ITIL, BS 7799 -
delno
METRIKA
COBIT
KONTROLNI
MEHANIZMI
COBIT, ISO
TEHNOLOGIJA
ITIL - delno
PROCESI
ITIL, COBIT –
delno, ISO17799 -
delno
64
Srečanje SUG skupine je v domeni dobavitelja programske opreme in se izvaja enkrat letno z namenom predstaviti nove produkte in smeri razvoja. Cilj raziskave je bil ugotoviti stanje upravljanja informatike v bankah SUG, z namenom, ki je osnova za kasnejšo medsebojno povezovanje in skupno delovanje skupine SUG v smeri:
Skupnega razvoja za podporo regulatornim zahtevam, ki ne vpliva na konkurenčni položaj posameznih članic znotraj skupine;
Skupnega testiranja novih rešitev; Iskanju sinergij v smislu krepitve skupnega tržnega položaja članic SUG; Možnost sodelovanja na infrastrukturnem nivoju in zagotavljanja storitev (npr.
BCP).
V nadaljevanju so predstavljeni najpomembnejši zaključki raziskave SUG in primerjava rezultatov z zaključki IT Governance Global Status Report-a 2008. Celotna raziskava in uporabljen vprašalnik sta v prilogi.
Rezultati raziskave podajajo pregled ozaveščenosti in izvajanja upravljanja informatike v podjetjih ter potrebe podjetij po nadaljnjem razvoju upravljanja informatike. Raziskava je potekala v obliki intervjujev.
Osnovni podatki o raziskavi
Ciljni kader pri izbiri anketirancev raziskave ITSGR sta bili funkciji CIO in CEO. V sami raziskavi ITGSR je bilo zajetih 749 podjetij. Od tega 652 naključno izbranih in 71 podjetij v 23 državah, ki uporabljajo CobIT, od tega je 21 znano izkušenih CobIT podjetij (ITGI, 2008, str. 10).
V primeru SUG raziskave je bil ciljni kader anketirancev funkcija vodje informatike (CIO). V raziskavo je bilo zajetih 29 bank na področju JV Evrope, ki sestavljajo SUG skupino.
SKD dejavnost podjetij zajetih v raziskavo ITGSR: IT/Telekom (56), Finančni sektor (61), Industrija (216), Trgovina (100), Javni sektor (178), ostala podjetja (41). Velikost podjetij izražena s številom zaposlenih znaša manj kot 100 (22), 101-500 (140), 501-1000 (121), več kot 1000 (364) (ITGI, 2008, str. 10).
V primeru SUG raziskave je zastopan samo finančni sektor, saj gre za banke, ki za podporo poslovnih procesov uporabljajo enako celovito programsko rešitev. Velikost bank SUG skupine izražene s številom zaposlenih je večinoma v rangu 100-500 (89%), velikostni razred od 501-1000 zajema le 11% bank, pri čemer je potrebno poudariti, da velikost blizu 1000 zaposlenih dosega le ena izmed bank.
6.1 Povzetek in zaključki raziskave
Vloga informatike v podjetjih
Splošno gledano je upravljanje informatike na nivoju izvršnega managementa. Na operativnem nivoju je upravljanje informatike domena vodje informatike (CIO) (ITGI, 2008,
65
str. 15). Medtem, ko je strokovnost še vedno usmerjena v področje tehnologije, je odgovornost upravljanja usmerjena v izvršni management.
Pri SUG delu se kaže izrazito odstopanje, kjer je razvidno, da je 21% odgovornosti upravljanja
pripisano upravam podjetja. Razlog za to je potrebno, po mojem mnenju, iskati v velikosti
podjetij, saj govorimo o podjetjih, kjer je povprečno število zaposlenih med 250 in 500 z
informatiko, ki obsega v povprečju 20 zaposlenih. Način upravljanja podjetij na področju JV
Evrope je izrazito centraliziran, kjer uprava podjetij ali izvršni management poleg funkcij
korporativnega upravljanja še vedno izvaja tudi operativne aktivnosti (članstvo v odborih,
odločanje o operativnih/funkcijskih zadevah, itd…). Samo 11% bank ima formalno
vzpostavljeno vlogo CIO-ta, ki je neposredno odgovoren najvišjemu vodstvu in zadolžen za
vodenje informatike. V ostalih 67% je informatika obravnavana kot služba, najpogosteje v
sektorju splošnih poslov in nima svojega »pravega« zastopnika v najvišjem vodstvu podjetja.
Trend je vsekakor usmerjen v večanje vloge informatike s tem, da se je pri obstoječih
organizacijskih premikih zgodil preboj vodje informatike na izvršni management s
prevzemanjem funkcije izvršnega direktorja splošnih poslov, v katerem je tudi informatika.
Sodelovanje med informatiko in poslovno stranjo se izboljšuje. V prihodnosti bo trend
sodelovanja pri odločitvah (tako poslovnih kot informacijskih) izrazitejši. V primeru SUG je
videti izrazito odstopanje od ITGSR, kar gre predvsem pripisati že prej opisanim dejstvom
velikosti in dejavnosti anketiranih podjetij (banke), kar je osnova za boljše sodelovanje med
informatiko in poslovno stranjo.
V primeru SUG se odraža centralizirano korporativno upravljanje, ki informatiko smatra za
pomembno, vendar še vedno prevladuje konzervativno bančno razmišljanje, ki informatiko
pripisuje zalednim službam. Trend prisotnosti informatike na sejah uprave se bo vsekakor
povečeval.
Ocena usklajenosti poslovne strategije in strategije informatike je v splošnem dobra. V
primeru SUG skupine, lahko izkustveno ocenim, da prikazano stanje ne odraža dejanskega
stanja. Po moji oceni bi usklajenosti strategij lahko pripisali kvečjemu povprečno oceno.
Zaključek 1-ITGSR: Upravljanje informatike je v organizacijski strukturi na nivoju izvršnega managementa. Izvedbeno je še vedno v pristojnosti vodje informatike (CIO).
Zaključek 1-SUG: V prihodnje bo potrebno vodje informatike izobraziti v poslovnem segmentu in izvršni management podjetij v informacijskem segmentu.
Zaključek 2-ITGSR: Pomembnost informatike v podjetju se povečuje.
Zaključek 2-SUG: Odvisnost izvajanja poslovnih procesov je popolnoma odvisno od informatike.
66
Zrelostni nivo upravljanja informatike
Splošno bi lahko povzel, da se samoocena zrelosti upravljanja informatike v povprečju giblje
med 3 in 4. Glede SUG skupine, bi težko pripisal 21% ocene 4 (Upravljan). Strinjam se, da to
stopnjo dosegajo na posameznih projektih. Splošno gledano je ocena v povprečju 3.
Zaključek 3-ITGSR: Samoocena upravljanja informatike se glede na pretekla leta povečuje in je pozitivno naravnana.
Zaključek 3-SUG: Samoocena upravljanja informatike je v povprečju »procesi so ponovljivi, ocena - 3«.
Komunikacija med informatiko in poslovno stranjo
Prikaz pogostosti komunikacije med informatiko in poslovno stranjo samo potrjuje
predhodne zaključke. Komunikacija se izboljšuje, kar je posledica večanja pomembnosti
informatike v podjetju. V primeru SUG skupine je odstotek nenehne komunikacije med
informatiko in poslovno stranjo izrazito visok, kar je posledica okolja, v katerem se te banke
trenutno nahajajo. Gre za obdobje tranzicije in lastninjenja, ki je povezano s prenovo
informacijskega sistema in vstopom tujega kapitala na trg JV Evrope.
Zaključek 4-ITGSR: Komunikacija med informatiko in poslovno stranjo se izboljšuje, vendar počasi.
Zaključek 4-SUG: Komunikacija med informatiko in poslovno stranjo je na visoki ravni, kar je posledica projektov prenove informacijskega sistema, ki so jih bile banke deležne v zadnjem obdobju.
Zaključek 5-ITGSR: Obstaja prostor za izboljšanje usklajenosti med informatiko in poslovno stranjo.
Zaključek 5-SUG: Čeprav je pogostost komunikacije na visokem nivoju, je prostora za usklajenost še vedno veliko.
Stanje upravljanja informatike
Stanje upravljanja informatike odraža prepoznavnost metod in dobrih praks upravljanja
vendar le te niso prisotne na vseh področjih. To nakazuje, da se podjetja lotijo upravljanja
parcialno in nepovezano, kar lahko pripišemo tudi regulatornim zahtevam, s katerimi
podjetja ponavadi pokrijejo le zahtevana področja. V primeru SUG skupine je odstotek
vzpostavljenih teles, ki skrbijo za arhitekturo precej na nizkem nivoju v primerjavi z ITSGR
raziskavo (SUG 22%, ITSGR 63%). Odstopanje je po moji oceni povezano z uvedenimi
67
informacijskimi rešitvami, saj v teh bankah nastopa dobavitelj informacijskega sistema, ki v
celoti pokriva poslovne procese, tako da lasten razvoj ni zastopan, razen na področju
poročevalskega dela.
Odstopanje v odstotku revizijskih pregledov (SUG 34%, ITSGR 67%) gre pripisati dejstvu, da
se področje revizije in regulatornih zahtev na tem področju šele usklajuje in prilagaja
sistemom kot npr. državam EU, primer Basel II. V prihodnjem obdobju je pričakovati rast.
Organizacije poznajo podjetja, ki nudijo storitve svetovanja vpeljave upravljanja informatike,
ampak dostopnost do strokovnih znanj in zmožnostjo uvajanja je na povprečni ravni (ITGI,
2008, str.26).
V ITGSR raziskavi so najbolj prepoznavna podjetja, ki lahko ponudijo pomoč pri upravljanju
informatike, kar odraža prisotnost in prepoznavnost na tržišču:
1. Velika konzultantska podjetja (npr. IBM, Accenture);
2. Velika revizorska podjetja (PwC, D&T, E&Y, KPMG);
3. Manjša svetovalna podjetja.
V primeru SUG, je situacija precej drugačna. Anketiranci so prepoznali naslednje tri:
1. Velika revizorska podjetja (PwC, D&T, E&Y, KPMG);
2. ISACA/ITGI in podjetja za raziskavo trga (npr. Gartner, IDC);
3. Manjša svetovalna podjetja.
Zaključek 6-ITGSR: Dobre prakse upravljanja informatike so prepoznavne in uporabljene, vendar ne na vseh področjih.
Zaključek 6-SUG: Prepoznavnost dobrih praks upravljanja je prisotna, vendar na nižjem nivoju kot v primerjavi ITGSR raziskavo.
Zaključek 7-ITGSR: Organizacije vedo, katera podjetja lahko nudijo pomoč pri upravljanju informatike.
Zaključek 7-SUG: Organizacije sledijo svetovnim trendom.
Uvedba upravljanja informatike
Aktivnosti se odvijajo ali pa so v fazi načrtovanja za vpeljavo upravljanja informatike. V
primerjavi z letom 2006 je opaziti viden napredek (ITGI, 2008, str.34).
Odstotek organizacij, ki ne načrtujejo uvedbe upravljanja informatike je praktično enak (SUG
21%, ITGSR 20%) v obeh raziskavah. Zanimivo bi bilo raziskati vzroke za takšno odločitev
podjetij.
68
Zanimivo je, da podjetja SUG prepričljivo vodijo v odstotku že uvedenega upravljanja
informatike (SUG 31%, ITGSR 18%), medtem ko je pri »Smo v procesu uvedbe« 22%
prednosti za ITGSR (SUG 12%, ITGSR 34%).
Najbolj uporabljani okvirji, standardi in dobre prakse v primeru ITGSR so:
1. ITIL/ISO20000,
2. ISO9000,
3. Interne metodologije in COBIT.
V primeru SUG je v ospredju ISO17799, kar je najverjetneje posledica regulatornih zahtev.
Izpostavil bi, da so prisotne tudi orodja in metodologije za upravljanje projektov ter standard
kakovosti ISO 9000.
Najbolj uporabljani okvirji, standardi in dobre prakse v primeru SUG so:
1. ISO17799/ISO27000,
2. ITIL/ISO20000,
3. ISO9000.
Zaključek 8-ITGSR: Uvedba upravljanja informatike je v izvajanju.
Zaključek 8-SUG: Upravljanje informatike je uvedla že tretjina podjetij.
Zaključek 9-ITGSR: Organizacije uporabljajo dobro poznane okvirje in rešitve.
Zaključek 9-SUG: Organizacije uporabljajo splošno znane rešitve, v ospredju je ISO 17799/ISO27000.
Prepoznavnost CobIT-a
Prepoznavnost CobIT-a je presegla 50% glede na predhodne raziskave. Odstotek njegove
uporabe se giblje okoli 30%. 25% do 35% sodelujočih dosledno uporablja CobIT. 50% pa
CobIT uporablja delno ali kot osnovo. Splošno gledano je razpoznavnost in uporaba CobITa v
odnosu na pretekla leta napredovala (ITGI, 2008, str. 36).
V SUG je odstotek prepoznavnosti CobIT-a izredno visok (78%). Žal je situacija pri njegovi
uporabi popolnoma drugačna, saj ga v primerjavi z ITGSR (kjer ga uporablja 33%) na precej
nižjem odstotku, uporablja ga le 20%. Razloge za to gre iskati po mojem mišljenju v interno
razvitih okvirjih, ki pa po večini temeljijo na splošno znanih sistemih upravljanja informatike.
Zaključek 10-ITGSR: Prepoznavnost CobIT-a je presegla 50%.
Zaključek 10-SUG: Prepoznavnost CobIT-a je zelo velika, vendar to ne vpliva na njegovo uporabo v organizacijah.
69
ZAKLJUČEK
Dejstvo je, da vloga informatike v sodobnih podjetjih prehaja na enak nivo, kot temeljna
poslovna področja podjetja in da igra ključno vlogo pri uspešnosti podjetja. Sodobno
poslovanje danes temelji na informacijsko komunikacijski tehnologiji, ki jih povezuje
informacijski sistem. Skoraj v vseh panogah informatizacija vpliva na učinkovitost poslovnih
procesov. Korporativno upravljanje informatike tako postaja eno izmed najpomembnejših
področij, s katerimi se bodo mogla soočiti najvišja vodstva v podjetjih.
Praksa upravljanja informatike se znatno razlikuje od podjetja do podjetja, pri čemer je
potrebno neuspehe pri vlaganjih v informatiko, v povezavi s samim poslovanjem, iskati v
vlogi, ki jo ima informatika v podjetju. Podjetja, ki ne znajo opisati proces upravljanja
informatike oz. njeno vlogo v podjetju, niso redka. Žal se vloga informatike v poslovanju
prepogosto določa na osnovi konkurence, trendov poslovanja ali tehnologije in ne po
dejanskih potrebah oz. rezultatih strateške analize poslovanja. Slabo poznavanje razmer,
napačne odločitve in splošno slaba praksa upravljanja informatike lahko izpostavi poslovanje
velikim tveganjem, ki lahko privedejo do velike poslovne škode in s tem vplivajo na tržni
položaj podjetja.
Upam, da je naloga v prvem delu podala dovolj razlogov in usmeritev, ki informatiku
približajo pomembnost poslovnega razumevanja in na drugi strani, razumevanja informatike
najvišjemu vodstvu podjetja. Če se omejim na področje bančništva, je vsekakor potrebna
vloga informatike kot strateškega partnerja. Takšna vloga pa na obeh straneh zahteva še kar
nekaj naporov in premika paradigem, ki v konzervativnih panogah, kot je bančništvo
predstavljajo resno oviro. Najtežje pri tem je, sprejeti vodjo informatike (CIO) v krog vodstva
podjetja. Vzrok za to je potrebno iskati predvsem v pomanjkanju poslovnih znanj
informatikov in nerazumevanju informacijskih vprašanj na poslovni strani. Vsekakor so
premiki na tem področju zaznani in trend prehajanja informatikov in pomembnost
informatike v podjetju je usmerjen po hierarhični lestvici navzgor.
Sama področja upravljanja informatike so v nalogi podana glede na trenutno stanje. Ker je
področje korporativnega upravljanja informatike relativno mlado področje, ki se nenehno
razvija in dopolnjuje, bo v prihodnjem obdobju zagotovo veliko sprememb in dopolnjevanja.
Smer področij upravljanja pa bo zagotovo v tesnejši povezavi in integraciji informatike in
poslovnega okolja s poudarkom na korporativnem upravljanju. S tem mislim, da je obdobje
tehnologije, ki je do danes zaznamovalo informatiko, počasi prehaja v ozadje. V ospredju je
poudarek na procesih in prehod na nivo strateškega partnerstva.
Na področju metodologij, standardov in priporočil, ki še vedno preveč poudarka posvečajo
tehnologiji, je v ospredju konvergenca s poudarkom integracije informatike in poslovanja.
Vsekakor velja omeniti CobIT, ki se najbolj približa krovnemu okvirju upravljanja informatike,
novo družino ISO 27000 standardov, ki so široko zastavili področje korporativnega
upravljanja in ITIL-a kot dopolnila, ki tehnično dopolnjuje ostala dva. Na tem segmentu velja
70
posebej poudariti, da je najpomembnejše področje popolnoma zanemarjeno in to je
upravljanje s človeškimi viri. V prihodnje bo zagotovo potrebno temu področju posvetiti
večjo pozornost.
Hipotezo naloge, da zrelost upravljanja informatike v bankah na področju JV Evrope sledi
sodobnim trendom, lahko na osnovi zaključkov empirične in kvalitativne raziskave potrdim.
Iz raziskave je razvidno, da banke, ki sestavljajo SUG skupino v ničemer bistveno ne
odstopajo od podjetij, ki jih je v svojo raziskavo vključil IT Governance Institut.
Dejstvo pa je, da so pristopi, metode in dimenzije tega okolja popolnoma drugačni od
ciljnega okolja, za katerega so bili okvirji, standardi in metodologije pisani. V osebnem
prepričanju in izkustveno lahko izrazim svoje mnenje, da so omenjeni sistemi prvenstveno
namenjeni velikim organizacijam, čeprav ne izključujejo manjših, samo pristopa uporabe in
vpeljave sta bistveno drugačna. V velikih sistemih so vloge v podjetju precej bolj ozko
usmerjene in specializirane na posamezna področja. To povzroči bistveno manjši in slabši
pretok informacij med posameznimi področji, kar zahteva bolj podrobno in jasno
opredeljevanje vlog in komunikacijskih kanalov. Tak pristop značilno vpliva na samo
organizacijsko klimo v podjetju in otežuje hitro prilagajanje spremembam. Za razliko je v
manjših podjetjih preglednost in transparentnost precej večja, pridejo pa v ospredje
problemi delitve vlog in njihovega izključevanja ter po mnenju nekaterih nepotrebna
birokracija, ki je osnova za vzpostavitev učinkovitega upravljanja informatike. Vsekakor je
upravljanje informatike v izvajanju, pomembno pri tem je, da se zavedamo, da ne gre za
programski paket, ki ga kupimo in uvedemo, temveč govorimo o razvijanju organizacije,
organizacijske kulture in znanja. Nedvomno ključno vlogo pri temu odigrajo zaposleni, ki jim
bo v prihodnje potrebno nameniti večjo pozornost in vlogo.
Potrjena teza in zaključki, ki izhajajo iz ciljev naloge, bodo dobra osnova za pripravo študije
povezovanja in iskanja sinergij med podjetji v okviru skupine SUG v smeri:
Skupnega razvoja za podporo regulatornim zahtevam, ki ne vpliva na konkurenčni
položaj posameznih članic znotraj skupine;
Skupnega testiranja novih rešitev;
Iskanju sinergij v smislu krepitve skupnega tržnega položaja članic SUG;
Možnost sodelovanja na infrastrukturnem nivoju in zagotavljanja storitev (npr. BCP).
Pred povezovanjem bank v okviru SUG skupine, bo vsekakor potrebno počakati na tranzicijo
informatike in poenotenje položaja informatike v odnosu do ključnih poslovnih funkcij v teh
podjetjih. Informatika v bankah vsekakor igra vidnejšo vlogo v samem poslovanju, kot je bilo
to v preteklosti. Premiki vodij informatike (CIO) v najvišji managemet so že vidni in trend se
bo vsekakor nadaljeval. Vodje informatike s tem prevzemajo novo vlogo, kar pomeni tudi
nove obveznosti. Pomembno je, da se informatiki izobrazijo v poslovnem smislu in
prevzamejo ozaveščanje najvišjega managementa v informacijskem smislu. S prebojem
informatike v vrhnji management informatiki prevzemajo tudi določene dodatne funkcije,
tako da novo nastali centri informatike vsebujejo poleg informacijske tehnologije tudi
71
poslovno logiko in poslovno tehnologijo, lastništvo nad procesi in s tem informacijsko in
poslovno arhitekturo. Tehnologija se vse bolj odmika in postaja predmet izdvajanja (angl.
Outsourcing), prav tako je predmet izdvajanja razvoj informacijskih rešitev. V ospredje
prihajajo poslovni procesi in poslovna pravila, ki bodo v prihodnje odigrala ključno vlogo pri
racionalizaciji poslovanja in nižanju stroškov, ki bo v naslednjih letih v ospredju. To vlogo
bodo uspešno odigrala tista podjetja, ki bodo izkoristila vse prednosti korporativnega
upravljanja informatike v podjetju.
72
VIRI
1. AS8015. (2005). Australian Standard for Corporate Governance of Information and Communication Technology (ICT). Najdeno 22. maja na spletnem naslovu http://www.acs.org.au/governance
2. Broadbent, M. & Kitzis, E.S. (2005). The New CIO Leader: Setting the Agenda and Delivering Results. Harvard Business School Press.
3. Calder, A. (2005). IT Governance Guidelines for Directors. IT Governance Publishing.
4. Coughlan, J., Lycett, M. & Macredie, R. D. (2005). Understanding the Business-IT
Relationship. International Journal of Information Management, 25(2005), 303–319.
5. Daniels, C.. (1994). Information Technology, The Management Challenge. Addison-Wesley.
6. Demarco, T. & Lister, T. (1999). Peopleware: Productive Projects and Teams. New York:
Dorset House Publishing.
7. Devaraj, S. & Kohli, R. (2000). Information Technology Payoff in the Health-Care
Industry: A Longitudinal Study. Journal of Management Information Systems, 6 (4), 41-
67.
8. Deravaj, S. & Kohli, R. (2002). The IT Payoff. New York: Prentice Hall. 9. Drew, S., (1995). Sterategic Benchmarking: Innovation Practices in Financial Institutions.
International Journal of Bank Marketing, 1(1995), 4–16.
10. Emery, A. (2007, 15 maj). Unveils Solutions for Resilient Operations with Clearer Insight into Data, Assets and Security. Najdeno 22. maja na spletnem naslovu http://www-03.ibm.com/press/us/en/pressrelease/21549.wss
11. Fox, C. & Zonneveld, P. (2006). IT Controls for Sarbanes-Oxley The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting. IT Governance Institute, ISACA.
12. Gartner. (2002). The Exclusive Business Value of IT. Gartner Inc. 13. Groznik, A. & Kovačič, A. (2001). Skladnost poslovnega strateškega načrta s strateškim
načrtom informatike. Uporabna informatika (Ljubljana), 9 (1), 12-15.
14. Groznik, A. & Kovačič, A. (2002). Ali strateško načrtovanje proizvodnje vpliva na
poslovanje organizacije? Uporabna Informatika (Ljubljana), 10 (1), 5-12.
15. Groznik, A. & Kovačič, A. (2003). The Real Business Value of IT. Economic and Business
Review, 5 (1/2), 137-146.
16. Groznik, A. & Vičič, D. (2005). Vrednost in pomen informatike v podjetju. Organizacija
(Kranj), 38 (4), 198-202.
17. Groznik, A., Bizjak, K., Javoršek, M., Marc, U., Mesarid, D. & Stegovec, M. (2006).
Razvojna strategija in vloga informatike v bančni panogi : primer Banke Koper in Hypo
Alpe-Adria-Bank. V Prašnikar, J. (ur.), Cirman, A. (ur.) & Bajde, D., Priložnosti finančnega
sektorja v tranzicijskih državah (str. 153-172). Ljubljana: Časnik Finance.
18. Groznik, A. & Vičič, D. (2006a). Menedžment portfelja projektov službe za informatiko.
Uporabna Informatika (Ljubljana), 14 (4), 219-225.
19. Groznik, A. & Vičič, D. (2006b). E-government The role of business renovation and
informatisation. Management (Split), 11 (1), 91-109.
73
20. Groznik, A. & Babnik, L. (2007). Ključna področja vodenja informatike kot izzivi vodjem
služb za informatiko. Uporabna informatika (Ljubljana), 15 (3), 150-159.
21. Hitt, L. & Brynjolfsson, E. (1994). The Three Faces of IT Value: Theory and Evidence.
Proceedings of the 15th Annual International Conference on Information Systems, 263-
277.
22. IBM (2004). Reaching Efficient Frontiers in IT Investment Management. IBM Institute for Business Value. Najdeno 20. maja 2008 na spletnem naslovu http://www.03.ibm.com/industries/financialservices/doc/content/bin/fss_bae_IT_management.pdf
23. IPI. (2006). Raziskava stanja poslovne informatike v Sloveniji. Inštitut za poslovno informatiko. Najdeno 22. maja na spletnem naslovu http://www.ef.uni-lj.si/enote/ipi/
24. Islovar. (2008). Terminološki slovar informatike. Najdeno 22. Maja na spletnem naslovu http://www.islovar.org/
25. ITGI. (2003). Board Briefing on IT Governance 2nd ed. IT Governance Institute. Najdeno 22. maja na spletnem naslovu http://www.itgi.org/AMTemplate.cfm?Section=Board_Briefing_on_IT_Governance&Template=/ContentManagement/ContentDisplay.cfm&ContentID=39649
26. ITGI. (2005a). Information Risks Whose Business Are They?. IT Governance Institute. Najdeno 15. maja na spletnem naslovu http://www.isaca.org/ContentManagement/ContentDisplay.cfm?ContentID=33919
27. ITGI. (2005b). Optimising Value Creation From IT Investments. IT Governance Institutr. Najdeno 15. maja na spletnem naslovu http://www.itgi.org/AMTemplate.cfm?Section=Deliverables&Template=/ContentManagement/ContentDisplay.cfm&ContentID=33923
28. ITGI. (2006a). IT Governance Global Status Report 2006 IT Governance Institute. Najdeno
15.maja 2008 na spletnem naslovu
http://www.itgi.org/AMTemplate.cfm?Section=ITGI_Research_Publications&Template=
/ContentManagement/ContentDisplay.cfm&ContentID=24224.
29. ITGI. (2006b). Enterprise Value Governance of IT Investments The Val IT Framework. IT Governance Institute. Najdeno 19. maja na naslovu http://www.isaca.org/AMTemplate.cfm?Section=Deliverables&Template=/ContentManagement/ContentDisplay.cfm&ContentID=24259
30. ITGI. (2007a). Cobit 4.1 Framework, Control Objectives, Management Guidlines and Maturity Models. IT Governance Institute. Najdeno 22. maja na spletnem naslovu https://www.isaca.org/Template.cfm?Section=Home&CONTENTID=39279&TEMPLATE=/MembersOnly.cfm
31. ITGI. (2007b). IT Control Objective for Basel II: The importance of Governance and Risk Compliance. IT Governance Institute. Najdeno 22. maja na spletnem naslovu http://www.isaca.org/
32. ITGI. (2008). IT Governance Global Status Report 2008. IT Governance Institute. Najdeno
15.maja 2008 na spletnem naslovu
http://www.itgi.org/AMTemplate.cfm?Section=ITGI_Research_Publications&Template=
/ContentManagement/ContentDisplay.cfm&ContentID=39735
33. Kaplan, R.S. & Norton, D.P. (1992). The balanced Scorecards – Measures That Drives Performance. Harvard Business Review, 70 (1), 71-9.
74
34. Kaplan, R.S. & Norton, D.P. (1996). The Balanced Scorecard Translating Strategy into Action. Boston: Harvard Business School Press.
35. Košak, M., Prašnikar, J., Belavič, G., Kržišnik, Š., Mehle, T., Mijatovid, V., Šimnovec, N. & Jurič, D. (2006). Razvojne strategije bank v Sloveniji in vloga informatike. V Prašnikar, J. (ur.), Cirman, A. (ur.) & Bajde, D., Priložnosti finančnega sektorja v tranzicijskih državah (str. 111-131). Ljubljana: Časnik Finance.
36. Kovačič, A., Jaklič, J., Indihar-Štemberger, M. & Groznik, A. (2004). Prenova in
informatizacija poslovanja. Ljubljana: Ekonomska fakulteta.
37. Kovačič, A. & Bosilj-Vukšič, V. (2005). Management poslovnih procesov. Ljubljana: GV
Založba.
38. Kraemer, K. & Dedrick, J. (1994). Payoffs from Investment in Information Technology-Leasons from the Asia-Pacific Region. World Development, 22 (12), 1921-1931.
39. McFarlan, F.W., McKenney, J.L. & Pyburn, Ph.J. (1983). The Information Archipelago – Plotting a Course. Harvard Business Review, 61 (1), 145-56.
40. NLB d.d. (2008). Priročnik za izvedbo samoocenitve po modelu CobIT. Interna dokumentacija NLB d.d. (1. Izdaja z dne 8.8.2008).
41. Nolan, R. & McFarlan, F.W. (2005). Information Technology and Board of Directors. Harvard Business Review, 83 (10), 96-106.
42. OECD. (2004). Principles of Corporate Governance. Najdeno 22. maja na spletnem naslovu http://www.oecd.org/DATAOECD/32/18/31557724.pdf
43. Panian, Ž., (2001). Kontrola i revizija informacijskih sustava. Zagreb: Sinergija. 44. Porter, M. E. (1980). Competitive Advantage. New York: The Free Press. 45. Porter, M. E., Millar, V. E. (1985, julij-avgust). How Information Gives You Competitive
Advantage. Harvard Business Review, str. 149-160. 46. Rožanec, A., Krisper, M. (2002, 16-18. december). Uporaba uravnoteženega sistema
kazalnikov za spremljanje uresničevanja strategije v javni upravi. INDO 2002. E-uprava za boljšo upravo : zbornik referatov (str. 362-368). Ljubljana: Vlada Republike Slovenije.
47. Silič, M., Colnar, M., Krisper, M., Rupnik, R., Bajec, M., Rozman, I., Heričko, M., Domajnko, T., Jurič, M. B., Živkovič, A., Beloglavec, S., Kožman, M., Novakovid, A., Stantič, M., Rubin, S., Tomažič, R., Jensterle, R. (2000). EMRIS - Enotna metodologija razvoja informacijskih sistemov. Zv. 2. Strateško planiranje. Ljubljana: Vlada Republike Slovenije, Center za informatiko.
48. Silvius, A.J.G. (2006). Does ROI Matter? Insights into the true Business Value of IT. The Electronic Journal Information Systems Evaluation, 9 (2), 93-104. Najdeno 22. maja na spletnem naslovu http://www.ejise.com/volume-9/v9-iss-2/silvius.pdf
49. Spremid, M. & Panian, Ž. (2007). Korporativno upravljanje i revizija informacijskih sustava. Zagreb: Zgombid & Partneri.
50. Standish, Group. (1994). The Chaos Report. Standish Group International. Najdeno 20. maja na naslovu http://www.csus.edu/indiv/v/velianitis/161/ChaosReport.pdf
51. Symons, C. (2005, 29 marec). IT Governance Framework: Structures, Processes and Framework. Forester Research. Najdeno 20. maja 2008 na spletnem naslovu http://www.forrester.com/Research/Document/Excerpt/0,7211,36563,00.html
52. Tam, K.Y. (1998). The Impact of Information Technology investments on Firm Performance and valuation: Evidence from Newly Industrialized Economies. Information Systems Research, 9 (1), 85-98.
75
53. Weill, P. & Ross, J.W. (2004). IT Governance: How Top Performers Manage IT Decision Rights for Superior Results. Harvard Business School Pres.
1
PRILOGE
Rezultati raziskave upravljanja informatike (ITSGR – SUG)
Osnovni podatki o raziskavi
Ciljni kader pri izbiri anketirancev raziskave ITSGR sta bili funkciji CIO in CEO. V sami raziskavi ITGSR je bilo zajetih 749 podjetij. Od tega 652 naključno izbranih in 71 podjetij v 23 državah, ki uporabljajo CobIT, od tega je 21 znano izkušenih CobIT podjetij (ITGI, 2008, str. 10).
V primeru SUG raziskave je bil ciljni kader anketirancev funkcija vodje informatike (CIO). V raziskavo je bilo zajetih 29 bank na področju JV Evrope, ki sestavljajo SUG skupino.
Geografski položaj anketiranih podjetij
V raziskavi ITGSR leta 2007 je bilo zajetih 16 (2%) podjetij iz Afrike, 180 (28%) iz Azije, 190 (29%) iz Evrope (Belgija, Francija, Nemčija, Italija, Španija, Švedska, Nizozemska, Velika Britanija), 129 (20%) iz Severne Amerike, 40 (6%) iz Avstralije in Nove Zelandije, 27 (15%) iz Južne Amerike (ITGI, 2008, str. 9).
V primeru SUG raziskave, je bila razdelitev naslednja: Srbija, 17 (59%), Črna Gora, 5 (17%), Makedonija 5 (17%), BIH 2 (7%).
Slika 16: Geografski položaj anketiranih podjetij
Vir: ITGI, IT Governance Global Status Report , 2008, str. 9; Lasten vir, 2008.
SKD dejavnost anketiranih podjetij
SKD dejavnost podjetij zajetih v raziskavo ITGSR: IT/Telekom (56), Finančni sektor (61), Industrija (216), Trgovina (100), Javni sektor (178), Ostala podjetja (41). Velikost podjetij
2%
28%
29%
20%
6%
15%
Geografski položaj anketiranih podjetij: ITGSR
Afrika
Azija
Evropa
Severna Amerika
Oceanija
Južna Amerika
59%17%
17%
7%
Geografski položaj anketiranih podjetij: SUG
Srbija
Črna Gora
Makedonija
BIH
2
izražena z številom zaposlenih znaša manj kot 100 (22), 101-500 (140), 501-1000 (121), več kot 1000 (364) (ITGI, 2008, str. 10).
V primeru SUG raziskave je zastopan samo finančni sektor, saj gre za banke, ki za podporo poslovnih procesov uporabljajo enako celovito programsko rešitev. Velikost bank SUG skupine je večinoma v rangu 1001-500 (89%), velikostni razred od 501-1000 zajema le 11% bank, pri čemer je potrebno poudariti, da velikost blizu 1000 zaposlenih dosega le ena izmed bank.
Slika 17: SKD dejavnost anketiranih podjetij
Vir: ITGI, IT Governance Global Status Report , 2008, str. 10; Lasten vir, 2008.
Velikost anketiranih podjetij
Slika 18: Velikost anketiranih podjetij
Vir: ITGI, IT Governance Global Status Report , 2008, str. 10; Lasten vir, 2008.
Funkcija anketirancev v podjetjih
V primeru ITGSR ima 78% anketirancev naziv (vlogo) vodje informatike v podjetju in 7% naziv (vlogo) CIO. Po vlogi lahko zaključimo, da je 85% klasificirano kot IT strokovnjak in le 3%
9%
10%
33%
15%
27%
6%
SKD dejavnost anketiranih podjetij: ITGSR
IT/Telecom
Finančni sektor
Industrija
Trgovina
Javni sektor
Ostala podjetja 100%
SKD dejavnost anketiranih podjetij: SUG
Finančni sektor
3%
22%
19%56%
Velikost anketiranih podjetij: ITGSR
Manj kot 100 zaposlenih
101-500 zaposlenih
501-1000 zaposlenih
Več kot 1000 zaposlenih
89%
11%
Velikost anketiranih podjetij: SUG
Manj kot 100 zaposlenih
101-500 zaposlenih
501-1000 zaposlenih
Več kot 1000 zaposlenih
3
anketirancev kot izvršni management (CEO, COO, CFO), medtem ko je 7% anketirancev v podjetju nosilec revizorske funkcije (ITGI, 2008, str. 15).
V primeru SUG skupine lahko na tak način klasificiramo 74% IT strokovnjakov in 22% kot izvršni management. Takšna vloga vodje informatike je v finančnih institucijah primerna in potrebna. Žal gre v večini primerov le za preskok na izvršni nivo managementa, kjer je potrebno veliko pozornosti usmeriti na pridobivanje poslovnih in managerskih znanj. Uspešna vloga izvršnih managerjev informatike lahko bistveno pripomore k trendu prehajanja informatike na izvršni nivo upravljanja v podjetju.
Slika 19: Funkcija anketrirancev v podjetjih
Vir: ITGI, IT Governance Global Status Report , 2008, str. 15; Lasten vir, 2008.
Ključna oseba/sponzor upravljanja informatike
Kdo je v vašem podjetju odgovoren (sponzor) za upravljanje informatike?
Zaključek 1-ITGSR: Upravljanje informatike je v organizacijski strukturi na nivoju izvršnega managementa. Izvedbeno je še vedno v pristojnosti CIO/vodje informatike.
Zaključek 1-SUG: V prihodnje bo potrebno vodje informatike izobraziti v poslovnem segmentu in izvršni management podjetij v informacijskem segmentu.
Splošno gledano je upravljanje informatike na nivoju izvršnega managementa. Na operativnem nivoju je upravljanje informatike domena vodje informatike (CIO) (ITGI, 2008, str. 15). Medtem, ko je strokovnost še vedno usmerjena v področje tehnologije, je odgovornost upravljanja usmerjena v izvršni management.
78%
7%
7%
3%
67%
0%
11%
22%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
Vodja informatike
Revizor IT
CIO
Izvršni direktor
Funkcija anketirancev v podjetjih
SUG
ITGSR
4
Pri SUG delu se kaže izrazito odstopanje, kjer je razvidno, da je 21% odgovornosti pripisano
upravam podjetja. Razlog za to je potrebno po mojem mnenju iskati v velikosti podjetij, saj
govorimo o podjetjih, kjer je povprečno število zaposlenih med 250 in 500 z informatiko, ki
obsega v povprečju 20 zaposlenih. Način upravljanja podjetij na področju JV Evrope je
izrazito centraliziran, kjer uprava podjetij ali izvršni management poleg funkcij
korporativnega upravljanja še vedno izvaja tudi operativne aktivnosti (članstvo v odborih,
odločanje o operativnih/funkcijskih zadevah, itd…). Samo 11% bank ima formalno
vzpostavljeno vlogo CIO-ta, ki je neposredno odgovoren najvišjemu vodstvu in zadolžen za
vodenje informatike. V ostalih 67% je informatika obravnavana kot služba, najpogosteje v
sektorju splošnih poslov in nima svojega »pravega« zastopnika v najvišjem vodstvu podjetja.
Trend je vsekakor usmerjen v večanje vloge informatike s tem, da se je pri obstoječih
organizacijskih premikih zgodil preboj vodje informatike na izvršni management s
prevzemanjem funkcije izvršnega direktorja splošnih poslov, v katerem je tudi informatika.
Slika 20: Ključna oseba/sponzor upravljanja informatike v podjetju
Vir: ITGI, IT Governance Global Status Report , 2008, str. 15; Lasten vir, 2008.
Vloga poslovne strani pri sodelovanju upravljanja informatike
Kako bi ocenili nivo sodelovanja med informatiko in poslovno stranjo na področju upravljanja
informatike?
Sodelovanje med informatiko in poslovno stranjo se izboljšuje. V prihodnosti bo trend
sodelovanja pri odločitvah (tako poslovnih kot informacijskih) izrazitejši. V primeru SUG je
40%
25%
9%
8%
5%
4%
4%
2%
12%
32%
0%
34%
0%
0%
0%
21%
0% 5% 10% 15% 20% 25% 30% 35% 40% 45%
CIO
CEO
CFO
IT direktor
COO
Nihče
Revizija
Uprava
Ključna oseba/sponzor upravljanja informatike v podjetju
SUG
ITGSR
5
videti izrazito odstopanje od ITGSR, kar gre predvsem pripisati že prej opisanim dejstvom
velikosti in panoge anketiranih podjetij.
Slika 21: Vloga poslovne strani pri sodelovanju upravljanja informatike
Vir: ITGI, IT Governance Global Status Report , 2008, str. 15; Lasten vir, 2008.
Pogostost obravnavanja informatike na sejah uprave
Kako pogosto uprava podjetja na svojih sejah obravnava informatiko?
V primeru SUG se odraža centralizirano korporativno upravljanje, ki informatiko smatra za
pomembno, vendar še vedno prevladuje konzervativno bančno razmišljanje, ki informatiko
pripisuje zalednim službam. Trend prisotnosti informatike na sejah uprave se bo vsekakor
povečeval.
Slika 22: Pogostost obravnavanja informatike na sejah uprave
Vir: ITGI, IT Governance Global Status Report , 2008, str. 16; Lasten vir, 2008.
12%
14%
42%
18%
10%
0%
0%
66%
34%
0%
0% 10% 20% 30% 40% 50% 60% 70%
Poslovna stran je popolnoma soodgovorna
Poslovna stran prevzema pobudo pri odločitvah
Poslovna stran sodeluje pri odločitvah
Poslovna stran je obveščena o odločitvah
Ni sodelovanja
Vloga poslovne strani pri sodelovanju upravljanja informatike
SUG
ITGSR
0%
29%
46%
25%
0%
64%
36%
0%
0% 10% 20% 30% 40% 50% 60% 70%
Nikoli
Včasih, odvisno od projekta
Redno
Vedno
Pogostnost obravnavanja informatike na sejah uprave
SUG
ITGSR
6
Dodana vrednost informatike
Kako se strinjate s trditvijo, da informacijska vlaganja ustvarjajo dodano vrednost za vaše
podjetje?*
*Iz raziskave ITGSR je prikazan odgovor, ki se nanaša na CIO-ta.
V primeru SUG skupine gre odstopanje iskati predvsem v panogi, kjer bančno poslovanje v
celoti temelji na informatiki.
Slika 23: Dodana vrednost informatike
Vir: ITGI, IT Governance Global Status Report , 2008, str. 16; Lasten vir, 2008.
Usklajenost poslovne strategije in strategije informatike
Kako bi opisali skladnost strategije informatike in poslovne strategije? *
*Iz raziskave ITGSR je prikazan odgovor, ki se nanaša na CIO-ta.
Ocena usklajenosti poslovne strategije in strategije informatike je v splošnem dobra. V
primeru SUG skupine, lahko izkustveno ocenim, da prikazano stanje ne odraža dejanskega
stanja. Po moji oceni bi usklajenosti strategij lahko pripisali kvečjemu povprečno oceno.
0%
2%
8%
44%
46%
0%
0%
0%
12%
88%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Se ne strinjam
Se delno strinjam
Sem neopredeljen
Se strinjam
Se popolnoma strinjam
Dodana vrednost informatike
SUG
ITGSR
7
Slika 24: Usklajenost poslovne strategije in strategije informatike
Vir: ITGI, IT Governance Global Status Report , 2008, str. 18; Lasten vir, 2008.
Usklajenost upravljanja informatike in upravljanja podjetja na korporativnem nivoju
Kako bi opisali skladnost med upravljanjem informatike in upravljanja podjetja na
korporativnem nivoju?
Slika 25: Usklajenost upravljanja informatike in upravljanja podjetja na korporativnem nivoju
Vir: ITGI, IT Governance Global Status Report , 2008, str. 18; Lasten vir, 2008.
0%
2%
31%
48%
19%
0%
0%
23%
44%
32%
0% 10% 20% 30% 40% 50% 60%
Zelo slaba
Slaba
Povprečna
Dobra
Zelo dobra
Usklajenost poslovne strategije in strategije informatike
SUG
ITGSR
0%
6%
48%
37%
10%
0%
8%
38%
22%
32%
0% 10% 20% 30% 40% 50% 60%
Zelo slaba
Slaba
Povprečna
Dobra
Zelo dobra
Usklajenost upravljanja informatike in upravljanja podjetja na korporativnem nivoju
SUG
ITGSR
8
Ocena SUG skupine je, da je pomembnost informatike na najvišjem nivoju pri doseganju
strategije podjetja. Tako visoko oceno gre pripisati dejstvu, da so anketiranci izključno
informatiki.
Pomembnost informatike
Kako pomembna je informatika pri doseganju strategije podjetja?
Zaključek 2-ITGSR: Pomembnost informatike v podjetju se povečuje.
Zaključek 2-SUG: Odvisnost izvajanja poslovnih procesov je v popolnosti odvisno od informatike.
Slika 26: Pomembnost informatike
Vir: ITGI, IT Governance Global Status Report , 2008, str. 19; Lasten vir, 2008.
Zrelostni nivo upravljanja informatike
Kako bi ocenili zrelostni nivo upravljanja informatike v vašem podjetju? *
*zrelostni nivo je bil podan opisno.
Zaključek 3-ITGSR: Samoocena upravljanja informatike se glede na pretekla leta povečuje in je pozitivno naravnana.
Zaključek 3-SUG: Samoocena upravljanja informatike je v povprečju »procesi so ponovljivi, ocena - 3«.
0%
1%
6%
30%
63%
20%
77%
0%
0%
0%
0%
100%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Sploh ni pomembna
Ni zelo pomembna
Ne vem
Deloma pomembna
Zelo pomembna
Pomembnost informatike
SUG
ITGSR Finančni sektor
ITGSR
9
Splošno bi lahko povzeli, da se samoocena zrelosti upravljanja informatike v povprečju giblje
med 3 in 4. Glede SUG skupine, bi težko pripisal 21% ocene 4 (Upravljan). Strinjam se, da to
stopnjo dosegajo na posameznih projektih. Splošno gledano je ocena v povprečju 3.
Slika 27: Zrelostni nivo upravljanja informatike
Vir: ITGI, IT Governance Global Status Report , 2008, str. 23; Lasten vir, 2008.
Komunikacija med informatiko in poslovno stranjo
Kako pogosto informatika obvešča poslovno stran o potencialnih možnostih uporabe nove
tehnologije?
Zaključek 4-ITGSR: Komunikacija med informatiko in poslovno stranjo se izboljšuje, vendar počasi.
Zaključek 4-SUG: Komunikacija med informatiko in poslovno stranjo je na visoki ravni, kar je posledica projektov prenove informacijskega sistema, ki so jih bile banke deležne v zadnjem obdobju.
Prikaz pogostosti komunikacije med informatiko in poslovno stranjo samo potrjuje
predhodne zaključke. Komunikacija se izboljšuje, kar je posledica večanja pomembnosti
informatike v podjetju. V primeru SUG skupine je odstotek nenehne komunikacije med
informatiko in poslovno stranjo izrazito visok, kar je posledica okolja, v katerem se te banke
8%
16%
30%
30%
13%
1%
0%
21%
12%
56%
11%
0%
0% 10% 20% 30% 40% 50% 60%
Optimiran
Upravljan
Definiran
Ponovljiv
Začetni
Ne obstaja
Zrelostni nivo upravljanja informatike
SUG
ITGSR
10
trenutno nahajajo. Gre za obdobje tranzicije in lastninjenja, ki je povezano s prenovo
informacijskega sistema in vstopom tujega kapitala na trg JV Evrope.
Slika 28: Pogostost komunikacije med informatiko in poslovno stranjo
Vir: ITGI, IT Governance Global Status Report , 2008, str. 25; Lasten vir, 2008.
Po podatkih raziskave je zaključek, da je še vedno dovolj prostora za izboljšanje usklajenosti
med upravljanjem informatike in upravljanjem podjetja, kot tudi strategije informatike in
poslovne strategije (ITGI, 2008, str. 26).
Razumevanje poslovnih potreb s strani informatike
V koliki meri informatika razume/podpira poslovne potrebe?
Zaključek 5-ITGSR: Obstaja prostor za izboljšanje usklajenosti med informatiko in poslovno stranjo.
Zaključek 5-SUG: Čeprav je pogostnost komunikacije na visokem nivoju je prostora za usklajenost še vedno veliko.
4%
36%
41%
18%
5%
42%
43%
9%
0%
34%
33%
32%
0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50%
Nikoli
Odvisno od projekta
Redno
Vedno
Pogostost komunikacije med informatiko in poslovno stranjo
SUG
ITGSR Finančni sektor
ITGSR
11
Slika 29: Razumevanje poslovnih potreb s strani informatike
Vir: ITGI, IT Governance Global Status Report , 2008, str. 26; Lasten vir, 2008.
Stanje upravljanja informatike
Katere od navedenih trditev lahko pripišete vašemu trenutnemu upravljanju informatike v
podjetju?
Zaključek 6-ITGSR: Dobre prakse upravljanja informatike so prepoznavne in uporabljene vendar ne vseh področjih.
Zaključek 6-SUG: Prepoznavnost dobrih praks upravljanja je prisotna vendar na nižjem nivoju kot v primerjavi ITGSR raziskavo.
Stanje upravljanja informatike odraža prepoznavnost metod in dobrih praks upravljanja,
vendar le te niso prisotne na vseh področjih. To nakazuje, da se podjetja lotijo upravljanja
parcialno in nepovezano, kar lahko pripišemo tudi regulatornim zahtevam, s katerimi
podjetja ponavadi pokrijejo le zahtevana področja. V primeru SUG skupine je odstotek
vzpostavljenih teles, ki skrbijo za arhitekturo precej na nizkem nivoju v primerjavi z ITSGR
raziskavo (SUG 22%, ITSGR 63%). Odstopanje je po moji oceni povezano z uvedenimi
informacijskimi rešitvami, saj v teh bankah nastopa dobavitelj informacijskega sistema, ki v
celoti pokriva poslovne procese, tako da lasten razvoj ni zastopan razen na področju
poročevalskega dela.
Odstopanje v odstotku revizijskih pregledov (SUG 34%, ITSGR 67%) gre pripisati dejstvu, da
se področje revizije in regulatornih zahtev na tem področju šele usklajuje in prilagaja
sistemom kot npr. državam EU, primer Basel II. V prihodnjem obdobju je pričakovati rast.
1%
3%
34%
62%
0%
0%
32%
68%
0% 10% 20% 30% 40% 50% 60% 70% 80%
Sploh ne razume
Ne razume
Do neke mere
Dobro razume
Razumevanje poslovnih potreb s strani informatike
SUG
ITGSR
12
Slika 30: Stanje upravljanja informatike
Vir: ITGI, IT Governance Global Status Report , 2008, str. 31; Lasten vir, 2008.
Prepoznavnost podjetij pri implementaciji dobrih praks upravljanja informatike
Katere izmed navedenih kategorij organizacije lahko nudijo pomoč pri vpeljavi
korporativnega upravljanja informatike v vašem okolju?
Zaključek 7-ITGSR: Organizacije vedo, katera podjetja lahko nudijo pomoč pri upravljanju informatike?
Zaključek 7-SUG: Organizacije sledijo svetovnim trendom.
80%
72%
71%
70%
67%
63%
59%
58%
55%
50%
31%
80%
76%
77%
78%
34%
22%
44%
67%
43%
44%
22%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
Viri v informatiki so upravljani skladno s poslovnimi potrebami
Najvišje vodsvo redno spremlja planirana sredstva in projekte
Organizacijska struktura je prilagojena učinkovitemu upravljanju informacijskih virov
Komunikacija s CEO je redna na nivoju upravljanja s tveganji
Informacijski procesi so redno spremljani s strani revizije
V podjetju je vzpostavljena skupina, ki skrbi za informacijsko arhitektur
V podjetju deluje projektna pisarna, ki tesno sodeluje z informatiko
V podjetju delujejo telesa korporativnega upravljanja
Za upravljanje z vlaganji delujejo posebna telesa
Obstajajo standardne procedure za ugotavljanje ekonomske upravičenosti in obvladovanje tveganj
Kazalci uspešnosti spremljanja informatike so vzpostavljeni na področju informatike
Stanje upravljanja informatike
SUG
ITGSR
13
Organizacije poznajo podjetja, ki nudijo storitve svetovanja vpeljave upravljanja informatike,
ampak dostopnost do strokovnih znanj in zmožnostjo uvajanja je na povprečni ravni (ITGI,
2008, str. 26).
Slika 31: Prepoznavnost podjetij pri implementaciji dobrih praks upravljanja informatike
Vir: ITGI, IT Governance Global Status Report , 2008, str. 32; Lasten vir, 2008.
V ITGSR raziskavi so najbolj prepoznavna podjetja, ki lahko ponudijo pomoč pri upravljanju
informatike, kar odraža prisotnost in prepoznavnost na tržišču:
1. Velika konzultantska podjetja (npr. IBM, Accenture);
2. Velika revizorska podjetja (PwC, D&T, E&Y, KPMG);
3. Manjša svetovalna podjetja.
V primeru SUG, je situacija precej drugačna. Anketiranci so prepoznali naslednje tri:
1. Velika revizorska podjetja (PwC, D&T, E&Y, KPMG);
2. ISACA/ITGI in podjetja za raziskavo trga (npr. Gartner, IDC);
3. Manjša svetovalna podjetja.
48%
42%
39%
32%
28%
28%
25%
23%
20%
19%
56%
67%
46%
0%
44%
56%
43%
56%
33%
22%
0% 10% 20% 30% 40% 50% 60% 70%
Velika konzultantska podjetja (npr. IBM, Accenture, Capgemini)
Veliki revizijska podjetja (PwC, D&T, E&Y, KPMG)
Manjša IT svetovalna podjetja in lokalni partnerji
Priporočena iz združenjev in revij
Dobavitelji programske opreme
Podjetja za raziskave trga (Gartner, IDC…)
Lokalne vladne organizacije
ISACA / ITGI
Univerze
Strateška svetovalna podjetja (McKinsey, BCG)
Prepoznavnost podjetij, ki svetujejo / pomagajo pri implementaciji dobrih praks upravljanja informatike
SUG
ITGSR
14
Podpora upravljanju informatike
Kako pomembno je za vaše podjetje, da zagotovi upravljanje informatike z naslednjimi
praksami?
Na kakšen način zagotoviti upravljanje informatike?
Slika 32: Podpora upravljanju informatike
Vir: ITGI, IT Governance Global Status Report , 2008, str. 33; Lasten vir, 2008.
V primeru ITGSR, so prva tri mesta zasedli naslednji odgovori:
1. Najboljše prakse;
2. Standardi, okvirji;
3. Primerjava z ostalimi.
V primeru SUG skupine, sta po pomembnosti zamenjana Standardi in okvirji z Primerjavo z
ostalimi, ki se skupini SUG zdi pomembnejša:
1. Najboljše prakse;
2. Primerjava z ostalimi;
3. Standardi, okvirji.
4,1
3,8
3,7
3,5
3,4
3,4
3,2
3,1
3,0
4,6
4,1
4,0
4,2
3,5
3,6
3,3
3,3
3,1
1 2 3 4 5
Najboljše prakse
Okvirji, standardi, modeli (CobIT, ITIL)
Simpoziji, seminarji, delavnice
Primerjava z ostalimi
Dostop do raziskav
Programska orodja
Bele knjige
Srečanja uporabnikov
Članstvo v organizacijah
Podpora upravljanju informatike (ocena 1-5)
SUG
ITGSR
15
Ocena dobaviteljev dobrih praks upravljanja informatike
Kako bi ocenili strokovnost storitve upravljanja informatike za naslednje
organizacije/podjetja?
Slika 33: Ocena dobaviteljev dobrih praks upravljanja informatike
Vir: ITGI, IT Governance Global Status Report , 2008, str. 33; Lasten vir, 2008.
3,0
3,4
3,4
3,4
3,7
3,6
3,6
4,0
4,3
3,8
2,7
2,5
2,7
2,9
2,8
3,0
3,2
2,9
3,1
3,6
2,8
3,0
4,0
4,1
4,5
4,4
4,3
4,3
4,4
4,3
3,5
3,5
3,3
4,1
4,3
4,2
4,3
4,3
4,5
4,6
1 2 3 4 5
Lokalne vladne organizacije
Strateška svetovalna podjetja (McKinsey, BCG)
Univerze
Veliki revizijska podjetja (PwC, D&T, E&Y, KPMG)
Podjetja za raziskave trga (Gartner, IDC…)
Manjša IT svetovalna podjetja in lokalni partnerji
Dobavitelji programske opreme
ITGI
ISACA
Velika konzultantska podjetja (npr. IBM, Accenture, Capgemini)
Ocena dobaviteljev dobrih praks upravljanja informatike (ocena 1 do 5)
(SUG) Sposobnost dobave
(SUG) Strokovnost
(ITGSR) Sposobnost dobave
(ITGSR) Strokovnost
16
Skupna ocena strokovnosti in sposobnosti dobave storitev, je po raziskavi ITGSR na prva tri
mesta uvrstila (ITGI, 2008, str. 32):
1. Velika konzultantska podjetja (npr. IBM, Accenture);
2. ISACA;
3. ITGI.
V primeru SUG, je rezultat prvih treh:
1. Velika konzultantska podjetja (npr. IBM, Accenture) in ISACA;
2. ITGI;
3. Podjetja za raziskavo trga (npr. Gartner, IDC).
Uvedba upravljanja informatike
Ali ste vpeljali oz. načrtujete uvedbo katerega od omenjenih sistemov korporativnega
upravljanja informatike?
Zaključek 8-ITGSR: Uvedba upravljanja informatike je v izvajanju.
Zaključek 8-SUG: Upravljanje informatike je uvedla že tretjina podjetij.
Aktivnosti se odvijajo ali pa so v fazi načrtovanja za vpeljavo upravljanja informatike. V
primerjavi z letom 2006 je opaziti viden napredek (ITGI, 2008, str. 34).
Slika 34: Uvedba upravljanja informatike
Vir: ITGI, IT Governance Global Status Report , 2008, str. 34; Lasten vir, 2008.
20%
24%
34%
18%
21%
36%
12%
31%
0% 5% 10% 15% 20% 25% 30% 35% 40%
Ne načrtujemo uvedbe
Načrtujemo uvedbo
Smo v procesu uvedbe
Smo že uvedli
Uvedba upravljanja informatike
SUG
ITGSR
17
Odstotek organizacij, ki ne načrtujejo uvedbe upravljanja informatike je praktično enak (SUG
21%, ITGSR 20%) v obeh raziskavah. Zanimivo bi bilo raziskati vzroke za takšno odločitev
podjetij.
Zanimivo je, da podjetja SUG prepričljivo vodijo v odstotku že uvedenega upravljanja
informatike (SUG 31%, ITGSR 18%), medtem ko je pri »Smo v procesu uvedbe« 22%
prednosti za ITGSR (SUG 12%, ITGSR 34%).
Uvedba upravljanja informatike glede na SKD dejavnost
Slika 35: Uvedba upravljanja informatike glede na SKD dejavnost
Vir: ITGI, IT Governance Global Status Report , 2008, str. 35; Lasten vir, 2008.
Izbrane rešitve za upravljanje informatike (brez znanih COBIT uporabnikov)
Katere rešitve upravljanja informatike uporabljate ali jih nameravate uvesti?
Zaključek 9-ITGSR: Organizacije uporabljajo dobro poznane okvirje in rešitve.
Zaključek 9-SUG: Organizacije uporabljajo splošno znane rešitve, v ospredju je ISO 17799/ISO27000.
10%
26%
32%
26%
5%
19%
47%
24%
23%
32%
30%
13%
24%
25%
40%
10%
17%
30%
36%
14%
0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50%
Ne načrtujemo uvedbe
Načrtujemo uvedbo
Smo v procesu uvedbe
Smo že uvedli
Uvedba upravljanja informatike glede na SKD dejavnost
Javni sektor
Trgovina
Proizvodnja
Finance
IT/Telecom
18
Slika 36: Izbrane rešitve za upravljanje informatike
Vir: ITGI, IT Governance Global Status Report , 2008, str. 36; Lasten vir, 2008.
24%
14%
14%
14%
10%
6%
4%
4%
3%
3%
3%
2%
2%
1%
1%
0%
0%
1%
56%
33%
0%
22%
78%
0%
11%
22%
22%
0%
0%
0%
9%
0%
10%
0%
0%
0%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
ITIL/ISO20000
ISO9000
Interna metodologija
CobIT
ISO17799/ISO27000
Ostale profesionalne rešitve
CMM in CMMI
BSC
Interno razviti okvirji, ki temeljijo na različnih okvirjih
Rešitve lokalnih organizacij
Se še nismo odločili
SixSigma
PRINCE2
COSO ERM
PMI, PMBOOK
TOGAF
Val IT
SysTrust
Izbrane rešitve za upravljanje informatike
SUG
ITGSR
19
Najbolj uporabljani okvirji, standardi in dobre prakse v okviru ITGSR so:
1. ITIL/ISO20000
2. ISO9000
3. Interne metodologije in COBIT
V primeru SUG je v ospredju ISO17799, kar je najverjetneje posledica regulatornih zahtev.
Izpostavil bi, da so prisotne tudi orodja in metodologije za upravljanje projektov ter standard
kakovosti ISO 9000.
Najbolj uporabljani okvirji, standardi in dobre prakse v okviru SUG so:
1. ISO17799/ISO27000
2. ITIL/ISO20000
3. ISO9000
Prepoznavnost CobIT-a
Ali poznate CobIT?
Zaključek 10-ITGSR: Prepoznavnost CobIT-a je presegla 50%.
Zaključek 10-SUG: Prepoznavnost CobIT-a je zelo velika, vendar to ne vpliva na njegovo uporabo v organizacijah.
Prepoznavnost CobIT-a je presegla 50% glede na predhodne raziskave. Odstotek njegove
uporabe se giblje okoli 30%. 25% do 35% sodelujočih dosledno uporablja CobIT. 50% pa
CobIT uporablja delno ali kot osnovo. Splošno gledano je razpoznavnost in uporaba CobITa v
odnosu na pretekla leta napredovala (ITGI, 2008, str. 36).
V SUG je odstotek prepoznavnosti CobIT-a izredno visok (78%). Žal je situacija pri njegovi
uporabi popolnoma drugačna, saj ga v primerjavi z ITGSR (kjer ga uporablja 33%) na precej
nižjem odstotku, uporablja ga le 20%. Razloge za to gre iskati po mojem mišljenju v interno
razvitih okvirjih, ki pa po večini temeljijo na splošno znanih sistemih upravljanja informatike.
20
Slika 37: Prepoznavnost CobIT-a
Vir: ITGI, IT Governance Global Status Report , 2008, str. 38; Lasten vir, 2008.
Uporaba CobIT-a v organizacijah, ki poznajo CobIT
Ali vaša organizacija (v katerem koli področju) trenutno uporablja CobIT?
Slika 38: Uporaba CobIT-a
Vir: ITGI, IT Governance Global Status Report , 2008, str. 38; Lasten vir, 2008.
51%
49%
Prepoznavnost CobIT-a (ITGSR)
Da
Ne
78%
22%
Prepoznavnost CobIT-a (SUG)
Da
Ne
33%
67%
Uporaba CobIT-a v organizacijah, ki poznajo CobIT (ITGSR)
Da
Ne
20%
80%
Uporaba CobIT-a v organizacijah, ki poznajo CobIT (SUG)
Da
Ne
21
Slovar tujih izrazov, kratic in okrajšav
Seznam uporabljenih tujih izrazov
Tuj izraz Slovenski prevod
Anarchy Anarhija Audit and Performance Management Revizija in vrednotenje Audit Committee Revizijski odbor Availability Risk Tveganja razpoložljivosti Batch Processing Paketna obdelava Behavioural Osebne lastnosti Best Practise Najboljše prakse Business Poslovno Business Monarchy Poslovna monarhija Chief Innovation Officer Nosilec sprememb poslovanja in poslovnih procesov Continual Service Improvement Stalno izboljševanje storitev Control Activities Kontrolne aktivnosti Control Environment Kontrolno okolje Corporate Governance Korporativno upravljanje Defensive IT Reaktivna informatika Defined Definiran Extranet Razširjeno povezano omrežje Factory Mode Operativna pomembnost Federal model Federalni model Feudal model Fevdalni model Information and Communication Informiranje in komuniciranje Infrastructure Risk Tveganja infrastrukture Initial Začetni Intangible Neotipljiv Integrity Risk Integritetna tveganja Investment or Expensive Risk Investicijska oziroma stroškovna tveganja IT activity goals Dejavniki doseganja ciljev IT duopol IT duopol IT Governance Upravljanje informatike IT Governance Committee Odbor za korporativno upravljanje informatike IT Governance Framework Okvir upravljanja informatike IT Monarchy IT monarhija IT Risk management Management informacijskih tveganj IT Value Delivery Ustvarjanje dodane vrednosti, ki jo zagotovi informatika Managed Upravljan Management Funkcijski nivo vodenja podjetja Maturity Models Model zrelosti Monitoring Spremljava in nadzor Ofensive IT Proaktivna informatika Online Neposredno dostopen Otimizing Optimiziran Project Risk Projektna tveganja Relevance Risk Tveganja ustreznosti Repeatable Ponavljajoč Resource Management Management virov Risk Assessment Ocena tveganj Risk management Management tveganj Security or Access Risk Tveganja varnosti oziroma dostopov Service Delivery Dobava storitev Service Design Oblikovanje storitev Service Operation Uporaba storitev
22
Tuj izraz Slovenski prevod
Service Strategy Strategija storitev Service Support Podpora storitvam Service Transition Dobava storitev Strategic Alignment Strateška usklajenost Strategic Grid Strateška matrika Strategic Mode Strateška pomembnost Support Mode Podpora poslovanju Tangible Otipljiv Technical Tehnični Top-Down Od zgoraj navzdol Turnaround Mode Pretvorni način Value Deliveri Zagotavljanje vrednosti
Seznam uporabljenih kratic
Kratica Polni opis Slovenski prevod
ABC Activity Based Costing Metoda spremljanja stroškov po aktivnostih AC Applications Control Aplikativne kontrole AI Aquisition and Implementation Nabava in izvedba BCM Business Continuity Management Upravljanje neprekinjenega poslovanja BCP Business Continuty Planning Načrtovanje neprekinjenega poslovanja BPR Business Process Reingeeniring Prenova poslovnih procesov BSC Balanced Scorecard Sistem uravnoteženih kazalnikov CBA Cost Benefit Analysis Metoda analize stroškov in koristi CEO Chief Executive Officer Generalni direktor podjetja CFO Chief Financial Officer Finančni direktor podjetja CIO Chief Information Officer Vodja informatike COO Chief Operation Officer Vodja operacij/operative CSF Critical Success Factor Ključni Dejavniki Uspeha (KDU) DRP Disaster Recovery Plan Načrt obnove po nesreči DS Delivery and Support Dobava in podpora EDI Electronic Data Interchange Elektronska izmenjava podatkov IM Investment Management Upravljanje investicij IS Information System Informacijski sistem ITAG IT activity goals Kazalniki doseganja ciljev ITSGR IT Global Status Report IT Globalno Poročilo ITSM IT Service Management Ravnanje z IT storitvami KGI Key Goal Indicators Ključni kazalniki doseganja ciljev KM Knowledge Management Upravljanje znanja KPI Key Preformance Indicators Ključni kazalniki poslovanja KRI Key Risk Indicators Ključni kazalniki tveganj ME Monitoring and Evaluation Spremljanje in nadzor PC Process Control Procesne kontrole PM Portfolio Management Upravljanje portfelja PO Planning and Organization Planiranje in organizacija ROI Return on Investment Donosnost naložbe SLA Service Level Agreement Sporazum o ravni storitve SUG Software User Group Programska skupina uporabnikov TCO Total Cost of Ownership Skupni stroški lastništva VG Value Governance Upravljanje vrednosti
23
Okrajšave uporabljenih imen
Okrajšava Polno ime
BS British Standard BSI British Standard Institute CMM Capability Maturity Model CMMI Capability Maturity Model Integration CobIT Control Objective for Information and related Technology D&T Deloitte Touche Tohmatsu E&Y Ernst & Young ISACA Information System and Control Association ISMS Information Security Management System ISO International Organization for Standardization ITGI IT Governance Institute ITGSR IT Governance Global Status Report ITIL Information Technology Infrastructure Library ITSM IT Service Management ITSMF IT Service Management Forum NIST National Institute of Standards and Technology OGC UK Office of Government Commerce PMBOOK Project Management Body of Knowledge PMI Project Management Institute PRINCE2 Projects IN Controlled Enviroment PwC PricewaterhouseCoopers RACI Responsible, Accountable, Consulted, Informed SEI Software Engineering Institute SoX Sarbanes-Oxley
24
Uporabljen vprašalnik
Section 1: Importance and Benefits of IT
Q1 Thinking about your overall corporate strategy or vision, how important do you
consider IT to be to the successful delivery of this strategy or vision?
Not important at all
Not very important
Not sure
Somewhat important
Very important
Don't know
Refused
Q2 How frequently is IT included on your organization’s board agenda?
Never
Sometimes-depends on projects
Regularly
Always
Don't know
Refused
Q3 How strongly would you agree or disagree that IT investments have created value for
your organization. Disagree strongly
Disagree slightly
Neither/nor
Agree slightly
Agree strongly
Don't know
Refused
Q4 How would you rate your organization’s maturity level on IT governance?
We do not think this needs attention.
We understand this is an issue but are just starting to assess what needs to be done.
We are well aware that this is important and we have a number of ad hoc measures in place.
We have well-defined IT governance measures and processes in place.
We have well-functioning IT governance processes and a performance-measuring system in place.
Our IT governance processes are continuously optimized based on performance-measuring results.
Don't know
Refused
25
Q5 How regularly does your IT department inform the business about potential business opportunities enabled by new technologies?
Never
Sometimes-depends on projects
Regularly
Always
Don't know
Refused
Q6a To what extent does your IT department understand the business user needs?
Not at all
Not really
To some extent
To a large extent
Don't know
Refused
Q6b To what extent does your IT department support the business user needs?
Not at all
Not really
To some extent
To a large extent
Don't know
Refused
Q7a How would you describe the fit or alignment between your IT strategy and your
organization’s overall business strategy? Please use a scale of 1-5, where 1 is “very poor” and 5 is “very good”.
Very poor
Poor
Average
Good
Very Good
Don't know
Refused
26
Q7b Using the same scale, how would you describe the fit or alignment between your
corporate governance practices and IT governance practices?
Very poor
Poor
Average
Good
Very Good
Don't know
Refused
Section 2: IT Problems and Potential Solutions
Q8a Which, if any, of the following problems have you experienced with IT in the last 12 months?
Yes No Don't know Refused
High cost of IT and/or low or unproven return on investment
IT service delivery problems
Serious IT operation incidents
Security and privacy incidents (people, intrusion, etc.)
Disconnect between IT strategy and business strategy
Problems with outsourcers
Insufficient staff
Inadequate DRP/BCP measures
Staff with inadequate skills
Electronic archiving/ storage problems
Problems with document/content/knowledge management
IT not meeting/ supporting compliance requirements
Lack of agility/development problems
Other (Please specify)
Q8b For problems experienced in Q8a:
How serious was this problem?
Very serious Somewhat serious
Not serious at all
Don't know
Refused
High cost of IT and/or low or unproven return on investment
IT service delivery problems
Serious IT operation incidents
Security and privacy incidents (people, intrusion, etc.)
Disconnect between IT strategy and business strategy
Problems with outsourcers
27
Insufficient staff
Inadequate DRP/BCP measures
Staff with inadequate skills
Electronic archiving/ storage problems
Problems with document/content/knowledge management
IT not meeting/supporting compliance requirements
Lack of agility/development problems
Other (Please specify)
Q8c For problems experienced in Q8a:
Has the situation regarding these problems deteriorated, stayed the same or improved during the past 12 months?
Deteriorated Stayed the same
Improved Don't know
Refused
High cost of IT and/or low or unproven return on investment
IT service delivery problems
Serious IT operation incidents
Security and privacy incidents (people, intrusion, etc.)
Disconnect between IT strategy and business strategy
Problems with outsourcers
Insufficient staff
Inadequate DRP/BCP measures
Staff with inadequate skills
Electronic archiving/storage problems
Problems with document/content/knowledge management
IT not meeting/supporting compliance requirements
Lack of agility/development problems
Other Please specify)
Q8d For problems experienced in Q8a:
How important do you feel that it will be to address this problem within the next 12 months?
Not important
at all
Not very important
Not sure
Somewhat important
Very important
Don't know
Refused
High cost of IT and/or low or unproven return on investment
IT service delivery problems
Serious IT operation incidents
Security and privacy incidents (people, intrusion, etc.)
Disconnect between IT strategy and business strategy
Problems with outsourcers
Insufficient staff
Inadequate DRP/BCP measures
Staff with inadequate skills
28
Electronic archiving/storage problems
Problems with document/content/knowledge management
IT not meeting/ supporting compliance requirements
Lack of agility/development problems
Other Please specify)
Q9 Could you please tell me the three most important performance
measurements/metrics you use to confirm success of the IT organization?
Q10 Do your organization’s current IT governance practices include any of the following
practices?
Yes No Not really IT governance
practices
Don't know
Refused
Setting up the right organization structures for overseeing and directing all the organization’s IT resources
The board reviews IT budgets and plans on a regular basis
The IT project portfolio is managed by business departments, supported by the IT department
IT resource requirements are identified based on business priorities
Some form of an overall IT Strategy Committee
A standard procedure for investment selection (IT Investment Committee)
A standard procedure for determining the business worth (financial and non-financial) and the risk for TI'-enabled business
investments
The CEO informs him/herself on the organization’s major IT-related risks, and mandates appropriate responses r
The IT scorecard exists, is understood by business people and covers IT value creation
Central oversight of overall IT architecture (Architecture Board or Committee)
IT processes are regularly audited for effectiveness and efficiency
29
Q11 How important is it for organizations active in IT governance to support your
organization with the following practices? Please use a scale of 1-5, where 1 is “not important at all” and 5 is “very important”.
Not important at
all
Not very important
Not sure
Somewhat important
Very important
Don't know
Refused
IT governance frameworks/models/standards (e.g., COBIT, ITIL)
IT governance software tools
Benchmarking capabilities
Best practices
White papers
Access to IT governance research
Corporate membership (as opposed to individual memberships) of IT governance research organizations
User conventions (of users of IT governance tools)
Networking (e.g., symposium, seminars, workshops)
Section 3: Awareness and Usage of IT Governance Frameworks
Q12a What organizations, if any, are you aware of that provide or implement solutions to IT governance problems?
Q12b For organizations that respondent was aware of in Q12a:
And have you used their services?
Q12a Aware of
Q12b Used their
services Market analysts (Gartner, IDC, etc.)
Big 4 accounting and advisory firms (PwC, Deloitte & Touche, Ernst & Young , KPMG)
Large IT and consultancy firms (e.g., Accenture, IBM, Capgemini)
Smaller/niche IT consultancy firms or local (smaller) IT partners
Strategic consultants (e.g., McKinsey, BCG)
Universities
Local (national) professional or governmental organizations (e.g., OGC in UK)
IT Governance Institute (ITGI)
ISACA
Software vendors
Other 1: (Please specify)
Other 2: (Please specify)
Other 3: (Please specify)
Other 4: (Please specify)
Other 5: (Please specify)
Other 6: (Please specify) Not aware of any
30
Q13a For organizations that respondent was aware of in Q12a: How would you rate ... with regard to expertise in IT governance solutions/frameworks? Please use a scale of 1-5 where 1 is “very poor” and 5 is “very good”.
Very Poor
Poor Average Good Very Good
Don't know
Refused
Market analysts (Gartner, IDC, etc.)
Big 4 accounting and advisory firms (PwC, Deloitte & Touche, Ernst & Young, KPMG)
Large IT and consultancy firms (e.g., Accenture, IBM, Capgemini)
Smaller/niche IT consultancy firms or local (smaller) IT partners
Strategic consultants (e.g., McKinsey, BCG)
Universities
Local (national) professional or governmental organizations (e.g., OGC in UK)
IT Governance Institute (ITGI)
Software vendors
ISACA
Others
Q13b For organizations that respondent was aware of in Q12a:
Using the same scale, how would you rate ... with regard to ability to implement IT governance solutions/frameworks?
Very Poor
Poor Average Good Very Good
Don't know
Refused
Market analysts (Gartner, IDC, etc.)
Big 4 accounting and advisory firms (PwC, Deloitte & Touche, Ernst & Young, KPMG)
Large IT and consultancy firms (e.g., Accenture, IBM, Capgemini)
Smaller/niche IT consultancy firms or local (smaller) IT partners
Strategic consultants (e.g., McKinsey, BCG)
Universities
Local (national) professional or governmental organizations (e.g., OGC in UK)
IT Governance Institute (ITGI)
Software vendors
ISACA
Q14 Have you implemented, are you in the process of implementing or are you
considering implementing improved IT governance practices?
Not considering implementation
Considering implementation
In the process of implementing
Have implemented
Don't know
Refused
31
Q14a If “not considering implementing an IT governance solution” in Q14: Why are you not considering implementing an IT governance solution/framework?
IT governance is not seen as a solution to my IT-related problems
Have no problems with IT
IT governance frameworks are too difficult to implement
Lack of information on solutions
Lack of expertise to execute
Company too small
Not a priority
Others (Please specify)
Don't know
Refused
Q15 Have you implemented or are you in the process of implementing any measures in
order to improve ... ?
Not considering implementation
Considering implementation
In the process of
implementation
Have implemented
Don't know
Refused
Alignment between IT strategy and overall strategy
IT resource (people, systems, financials) management
IT value delivery aiming at better customer relationships
IT value delivery aiming at a higher product or service leadership/innovation
IT risk management
Actual performance measurement of IT
Active management of ROI of IT
Q16 What solutions/frameworks do you use or are you considering using?
Using now
ISO 17799/ISO 27000/ISO TR13335/ISF or equivalent security standard
ISO 9000
COBIT/COBIT Quickstart
ITIL/ISO 20000
Val IT
SysTrust
IT Balanced Scorecard (BSC)
Software Engineering Institute Maturity Model (CMM and CMMI)
COSO ERM
PMI, PMBOK
PRINCE2
Six Sigma
TOGAF
Local (national) professional organizations’ solutions (Please specify)
Other international professional organizations’ solutions (Please specify)7
Internally developed framework but based on one or more of the above (Please specify -more than one allowed)
32
Internally developed framework
Not yet decided which one
Don't know
Refused
Q17 To what degree do you measure your progress/performance towards better IT
governance?
To no degree at all
To some degree
To a great degree
Don't know
Refused
Q18 To what level would you agree or disagree that IT governance practices have
improved the cost effectiveness of IT for the business? Please use a scale of 1-5, where 1 is “strongly disagree” and 5 is “strongly agree”.
Strongly disagree
Disagree
Neither/nor
Agree
Agree strongly
Don't know
Refused
Q20 How important is IT risk management to your organization? Please use a scale of 1-5,
where 1 is “not important at all” and 5 is “very important”.
Not important at all
Not very important
Not sure
Somewhat important
Very important
Don't know
Refused
Section 4: Awareness and Usage of COBIT
Q21 Are you personally aware of the existence of COBIT?
Yes
No
Don't know
Refused
33
Q22a If “aware of COBIT” in Q21: Are you personally aware of the contents of COBIT?
Yes
No
Don't know
Refused
Q22b If “aware of contents of COBIT” in Q22a:
To what extent are you aware of the contents?
To some extent
To a large extent
Don't know
Refused
Q23a If “aware of COBIT” in Q21:
Does your organization (in any area) currently use COBIT?
Yes
No
Don't know
Refused
Q23b If “organization uses COBIT” in Q23a:
Does your organization (in any area) use COBIT for any of the following activities, and to what extent is COBIT used?
Apply it to
the letter Main
source of guidance/reference
One of the sources/
references
Slightly influenced
Not at all Don't know
Refused
Defining internal controls
Measuring IT performance
IT security and continuity
IT process improvement
IT governance framework
Providing IT audit and assurance
Other (Please specify)
34
Q24 If “organization used COBIT” in Q23a: How valuable do you think COBIT is in your IT governance efforts/initiatives? Please use a scale of 1-5, where 1 is “not valuable at all” and 5 is “very valuable”.
Not valuable at all
Not very valuable
Not sure
Somewhat valuable
Very valuable
Don't know
Refused
Q25 If “organization used COBIT” in Q23a:
How valuable do you think COBIT is in your general management of IT resources? Please use a scale of 1-5, where 1 is “not valuable at all” and 5 is “very valuable”.
Not valuable at all
Not very valuable
Not sure
Somewhat valuable
Very valuable
Don't know
Refused
Section 5: General IT Profile
Q26 How much value do you think your organization is getting out of IT (e.g., better
customer relations, better risk management, a lower cost, or a higher product leadership)?
Not value at all
Some value
Substantial value
Don't know
Refused
Q27 With regard to IT, how would you describe your company's IT philosophy? Is it ...?
Innovative (uses IT as a competitive weapon)
Functional (invests in leading technologies)
Conservative (relies on proven, mature technologies)
Don't know
Refused
35
Q28 Who is the key champion/sponsor for IT governance within your organization?
CEO-Chief Executive Officer
CIO-Chief Information Officer
CFO-Chief Financial Officer
Compliance/audit
Nobody
Other (Please specify)
Don't know
Refused
Q29a Are the following IT related investment principles applied, or planned to be, in your
organization? Q29b For each principle answered YES in Q29a
Which two principles deliver the greatest value to the organization?
Possible answers for Q29a Possible answers for Q29b
Always and fully
Often or
usually
Occasionally or partially
Never Q29b Top 2 values
Don't know
Refused
Manage IT enabled investments as a portfolio
IT enabled investments include the full scope of activities that are required to achieve business value
IT enabled investments are managed through their full economic life cycle
Recognize different categories of investments
Key value metrics are monitored and deviations responded to
Establish accountabilities for capability delivery and realization of benefits
Continuous improvement of value delivery practices
Q30 How would you describe the level of engagement by business management in the
governance of IT enabled business initiatives?
Low engagement
Informed but not heavily involved
Participates in decision making
Leading the decision making
Fully accountable
Don't know
Refused
Q31 What do you see as the greatest obstacles/constraints to organizations adopting the
principles defined previously?
36
Section 6: Profile
QD1. Please confirm-what is your job title and area of responsibility?
QD2. How many employees does your company employ in total?
Fewer than 100
101-500
501-1,000
More than 1,000
Don't know
Refused